Атака на JavaScript привела к миллиарду загрузок зараженных пакетов и всего $50 убытков

• Хакеры атаковали NPM через аккаунт разработчика qix и поставили под угрозу всю экосистему JavaScript.
• Взлом вызвал миллиард загрузок зараженных пакетов, но только $50 кражи.
• CTO Ledger отметил, что пользователям стоит временно воздержаться от ончейн-транзакций.

Технический директор (CTO) криптокомпании Ledger Чарльз Гильмет сообщил об угрозе экосистеме JavaScript после того, как хакеры взломали аккаунт известного разработчика qix в менеджере пакетов для JavaScript (NPM).

В результате в десятки популярных библиотек — в частности chalk, strip-ansi, color-convert и другие — интегрировался вредоносный код. Суммарно эти пакеты имеют более одного миллиарда загрузок еженедельно.

По словам Гильмета, сейчас происходит «масштабная атака на цепь поставок»:

Атака оставалась незамеченной, пока одна из команд разработчиков не столкнулась со странной ошибкой во время сборки. Расследование показало, что в пакеты добавили обфускованный код с функциями вроде checkethereumw, которые пытались похитить криптовалюты.

В список пораженных попали одни из важнейших утилит JavaScript:

• chalk — около 300 млн загрузок в неделю;
• strip-ansi — 261 млн;
• color-convert — 193 млн;
• color-name — 191 млн;
• is-core-module — 69 млн;
• error-ex — 47 млн;
• simple-swizzle — 26 млн;
• has-ansi — 12 млн.

Аналитики NPM Security уже удалили большинство зараженных версий, тогда как автор пакета получил сообщение и сотрудничает с командой безопасности. Однако риск остается, ведь вредоносные зависимости могли сохраниться в lockfile или в кэшированных сборках.

Несмотря на масштаб атаки, результат оказался довольно ироничным: злоумышленникам удалось украсть лишь около $50 в Ethereum и