Эксперты заявили о второй волне атак на реестр npm

• Эксперты в сфере кибербезопасности заявили о второй волне атак на реестр npm.
• Были скомпрометированы до 800 пакетов, инцидент затронул более 25 000 репозиториев и множество популярных проектов.
• Злоумышленники используют самовоспроизводящегося червя Sha1-Hulud.

Различные эксперты, в частности из Aikido Security, Koi Security, Socket и другие, заявили о второй волне атак на реестр npm, онлайн-хранилище JavaScript-пакетов. Были скомпрометированы сотни пакетов, включая те, что используются в криптовалютной сфере.

Вредоносная кампания получила название Sha1-Hulud: The Second Coming. Точное количество скомпрометированных пакетов на момент написания неизвестно, по разным оценкам это число составляет от 400 до 800, но реальное значение может быть больше.

Были затронуты более 25 000 репозиториев на GitHub, принадлежащих свыше 500 пользователям, и такие проекты, как Zapier, ENS, AsyncAPI, PostHog, Postman.

Непосредственно само вредоносное ПО Sha1-Hulud — это самовоспроизводящийся npm-червь. Отличием второй волны атак является использование злоумышленниками preinstall скрипта (setup_bun.js) в списке пакетов (package.json), который настроен на скрытую установку и запуск вложения (bun_environment.js), что и является вирусом.

Для поиска и кражи информации используется TruffleHog. При этом, как отметили в Koi Security, новая волна атак более агрессивная. При определенных условиях ПО попросту стирает пользовательские данные.

Известно, что вредоносные пакеты npm загрузили в реестр между 21 и 23 ноября 2025 года. Атака все еще продолжается.

Из скомпрометированного перечня пакетов, который фигурирует, например, в заметке Aikido Security, как минимум 10 активно используются в криптовалютной сфере. Это, например, ensjs,