Массовая атака на экосистему JavaScript
8 сентября 2025 года криптосообщество всколыхнула новость: крупнейшая за последние годы атака на npm-пакеты. Злоумышленники взломали аккаунт популярного разработчика под ником qix и внедрили вредоносный код сразу в 18 библиотек, включая такие широко используемые как:
- chalk
- debug
- ansi-styles
- strip-ansi
На минуточку: эти пакеты суммарно скачиваются более 2,6 млрд раз в неделю. То есть практически любое веб-приложение или сервис, работающий с JavaScript, мог оказаться заражённым.
Как именно работал вредоносный код
Хакеры встроили в библиотеки так называемый crypto-clipper — скрипт, который умеет подменять адреса кошельков прямо в момент транзакции.
Работает это так:
- Если кошелёк не подключён, вредонос незаметно меняет реквизиты получателя в коде dApp.
- Если используется браузерный кошелёк (например, MetaMask), адрес подменяется прямо в памяти приложения до момента подписи. Пользователь видит «правильный» адрес, но фактически средства уходят на кошелёк мошенников.
Именно поэтому эксперты начали советовать временно отказаться от использования MetaMask и Trust Wallet — до тех пор, пока ситуация окончательно не будет под контролем.
Кто первым забил тревогу
Сигнал тревоги прозвучал от самого сердца индустрии.
- Чарльз Гийемет, технический директор Ledger, предупредил о масштабе атаки и призвал максимально осторожно подписывать транзакции.
В сообществе Reddit пошли обсуждения:
«Лучше на время приостановить все on-chain операции через софт-кошельки. У владельцев железных кошельков есть преимущество — они показывают адрес на дисплее устройства, независимо от того, что рисует интерфейс браузера».
В итоге, по сути, всё сообщество в унисон заявило: главный бенефит сейчас у владельцев аппаратных кошельков.
Ущерб — меньше $50, но урок дорогой
Парадокс: несмотря на масштабы атаки, похищено было… меньше $50. Почему так?
- Разработчики npm и команды безопасности отреагировали очень быстро.
- Заражённые пакеты удалили всего через 2,5 часа после внедрения кода.
- Крупные компании вроде Vercel мгновенно очистили кэши и уведомили пользователей.
Но важен не ущерб в долларах, а сам факт: уязвимость существовала, и средства могли уйти практически у любого пользователя.
Что делать пользователям MetaMask и Trust Wallet
Эксперты рекомендуют:
- 🔒 Временно приостановить активность
Не совершать on-chain транзакции через MetaMask или Trust Wallet, пока экосистема npm полностью не обновится. - 🛡 Использовать аппаратные кошельки
Ledger, Trezor и их аналоги показывают конечный адрес на своём экране, а значит подмена невозможна. - ✅ Делать тестовые транзакции
Если всё же нужно срочно отправить средства — сначала отправьте символическую сумму, чтобы проверить корректность. - 📌 Фиксировать зависимости
Разработчикам и компаниям важно закреплять версии пакетов (pin dependencies), чтобы не тянуть случайно заражённые обновления.
Закрыт ли баг полностью?
На данный момент — да. Вредоносные версии удалены, пакеты помечены как небезопасные, добавлены правила обнаружения. Но:
- Скомпрометированные версии могут сохраняться в кэше.
- Если кто-то закрепил старые ревизии в конфигурациях — риск остаётся.
Поэтому совет «не трогать» MetaMask и Trust Wallet пока ещё актуален, особенно для новичков.
Атака на npm-библиотеки показала, что даже самые базовые инструменты для разработки могут стать уязвимым звеном в криптоэкосистеме. Потери оказались символическими, но риск был колоссальный. Сегодняшний инцидент стал важным напоминанием: безопасность кошельков зависит не только от блокчейна, но и от кода, который работает «за кадром». Пока эксперты советуют быть максимально осторожными с MetaMask и Trust Wallet, лучшая стратегия — временно снизить активность и доверить средства аппаратным устройствам.
