Найбільший злам в історії npm: хакери заразили шкідливим кодом бібліотеки з 2 млрд завантажень

Програмування мовою JavaScript та безпека коду

Фахівці компанії Aikido Security виявили наймасштабнішу в історії атаку на ланцюжок постачання в екосистемі JavaScript (реєстр пакунків npm). Зловмисники вбудували шкідливий код у 18 популярних npm-бібліотек. Сумарна кількість завантажень цих пакунків перевищує 2 мільярди на тиждень. Хакери провели атаку у вересні 2025 року.

Як хакер обійшов двофакторну автентифікацію

Для зламу системи кіберзлочинець вибрав метод цільового фішингу. Він надіслав розробнику Джошу Джунону, який адмініструє вразливі пакети, фейковий лист від імені адміністрації npmjs.com. Для обману зловмисник зареєстрував схожий домен npmjs.help.

У листі хакер вимагав від Джунона негайно оновити налаштування двофакторної автентифікації (2FA) під приводом «критичної загрози безпеці». Посилання вело на підроблену сторінку входу, де розробник власноруч передав хакеру свої логін, пароль та одноразовий код. Згодом Джунон публічно визнав факт зламу облікового запису.

Наслідки для розробників та криптовалютні скрипти

Отримавши повний доступ до профілю розробника, хакер негайно випустив оновлення для 18 пакунків. Він вбудував у код приховані скрипти для викрадення криптовалюти з гаманців користувачів. Ці дрібні бібліотеки відповідають за базові функції розробки (наприклад, форматування тексту чи роботу з кольорами консолі), тому тисячі програмістів по всьому світу імпортували їх у свої вебпроєкти.

Порівняння офіційного та фішингового доменів у хакерській атаці

Характеристика Офіційний ресурс (npm) Фішинговий сайт хакера
Доменне ім’я npmjs.com npmjs.help
Мета звернення Звичайна робота з пакетами, планові повідомлення безпеки Терміновий заклик оновити налаштування 2FA через «загрозу»
Результат авторизації Успішний вхід до власного кабінету розробника Передача пароля та сесійних токенів зловмиснику

Хоча Aikido Security не розкриває повний перелік заражених назв бібліотек для уникнення зловживань, адміністратори реєстру npm уже видалили критично небезпечні версії, а решту позначили спеціальним попередженням про загрозу.

Підсумок

Компанія Aikido Security повідомила про найбільший злам у реєстрі пакунків npm, через який хакери заразили шкідливим кодом 18 бібліотек із сумарними 2 млрд завантажень на тиждень. Зловмисник отримав доступ до акаунта провідного розробника через фішинговий домен npmjs.help і впровадив у кодову базу скрипти для крадіжки криптовалюти. Наразі адміністратори видалили уражені версії пакунків з офіційного сховища.

Схожі Новини
Drive and Listen

Drive and Listen: катайтесь вулицями Лондона, Берліна, Токіо та слухайте місцеве радіо

Уявіть, що ви їдете вузькими вуличками Парижа, швидкісними магістралями Лос-Анджелеса чи серед жвавого натовпу Токіо, а з динаміків лунає місцеве радіо. Вам не потрібно бронювати квитки чи збирати валізи – усе це можливо завдяки сервісу Drive and Listen.
Детальніше