Атака на цепочку поставок: скомпрометированы npm-пакеты с 2,6 млрд загрузок

Атака на цепочку поставок: скомпрометированы npm-пакеты с 2,6 млрд загрузок

Атака на цепочку поставок: скомпрометированы npm-пакеты с 2,6 млрд загрузок

В экосистеме JavaScript зафиксирован новый крупный инцидент: в результате фишинговой атаки злоумышленники получили доступ к аккаунту популярного мейнтейнера npm-пакетов Джоша Джунона (известного как qix) и внедрили вредоносный код в целый ряд библиотек, которые суммарно загружаются более 2,6 миллиарда раз в неделю.

Фишинговое письмо пришло с поддельного домена npmjs.help и выглядело как официальное уведомление о необходимости обновить двухфакторную аутентификацию.

В сообщении утверждалось, что в противном случае аккаунты разработчиков будут заблокированы с 10 сентября 2025 года. Попавшись на эту уловку, мейнтейнер лишился доступа к своим проектам.

 

Злоумышленники обновили популярные пакеты, включая chalk, debug, ansi-styles, strip-ansi и другие. В index.js был добавлен вредоносный код, который встраивается в браузер и перехватывает криптотранзакции.

При обращении к кошелькам Ethereum, Bitcoin, Solana, Tron, Litecoin и Bitcoin Cash вредоносная логика подменяет адреса получателей на кошельки атакующих. Для этого код перехватывает вызовы fetch, XMLHttpRequest и web3-API вроде window.ethereum.

По данным Aikido Security, атака затрагивает только часть пользователей — для успешного заражения нужно было установить скомпрометированные пакеты в определённый промежуток времени (с 9:00 до 11:30 утра по восточному времени) и сгенерировать package-lock.json именно в этот период. Тем не менее масштаб всё равно внушительный: под удар попали десятки библиотек, на которых держится огромное количество проектов.

Команда npm уже удалила вредоносные версии, но случай снова показал, насколько уязвимы цепочки поставок ПО. За последние месяцы аналогичные атаки коснулись и других популярных библиотек — в том числе eslint-config-prettier и ещё десятка пакетов, которые были превращены в инфостилеры.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Банки обяжут возвращать клиентам цифровые рубли, переведенные мошенникам

После ввода в оборот цифрового рубля возврат банками таких средств, украденных мошенниками, будет осуществляться по тем же правилам, которые сейчас действуют в отношении безналичных операций по клиентским счетам.

Если кредитно-финансовая организация одобрила перевод по реквизитам, внесенным в черные списки Банка России, она должна будет возместить клиенту потери.

Запустить цифровой рубль в стране регулятор планировал в этом году, но в итоге пришлось отложить внедрение проекта еще на год. Тестирование новой формы нацвалюты еще не завершено, однако она уже начала входить в репертуар обуреваемых жаждой наживы мошенников.

Опрошенные «Известиями» эксперты отметили, что отслеживать переводы мошенникам в цифровых рублях будет легче: доступ к кошелькам с уникальными кодами не привязан к конкретному банку, их хранение осуществляется на специальной платформе Центробанка.

Все транзакции при этом фиксируются, однако для успешного противодействия мошенничеству придется ввести мониторинг в реальном времени и создать новую базу данных злоумышленников.

Закон, обязывающий банки отслеживать платежи мошенникам, согласуясь с черными списками ЦБ, вступил в силу в июле 2024 года. При обнаружении данных получателя в этой базе кредитная организация должна заблокировать перевод и уведомить инициатора; в противном случае ей придется в течение 30 дней вернуть клиенту средства, украденные аферистами.

Во II квартале 2025 года регулятор зафиксировал 273 тыс. мошеннических транзакций общим объемом 6,3 млрд рублей. Банки возместили жертвам обмана 5,2% этой суммы.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru