Когда один логин сотрясает интернет: как 18 библиотек JavaScript оказались взломаны

Вредоносный код на короткое время попал в 18 популярных библиотек JavaScript на NPM, которые в сумме скачиваются более 2 миллиардов раз в неделю. Всё началось с письма, замаскированного под уведомление от NPM с просьбой обновить двухфакторную аутентификацию. Письмо вело на поддельную страницу входа, где похищался одноразовый токен. Получив эти данные, злоумышленники вошли в аккаунт мейнтейнера, изменили почту восстановления и загрузили изменённые версии пакетов.

Вредоносная вставка была направлена на пользователей криптовалют. Она могла перехватывать активность кошельков в браузере, подменять параметры транзакций и переводить средства на подконтрольные адреса без явных признаков атаки. Компания Aikido выявила проблему с помощью автоматических проверок коммитов. Пакеты оперативно очистили, но случай показал, насколько легко доверенные зависимости превращаются в оружие.

Хрупкость цепочки поставок ПО

Эксперты заметили, что злоумышленники ограничились криптовалютой, хотя доступ к этим библиотекам открывал гораздо более опасные возможности. Инцидент подчеркнул слабость экосистемы, где огромный объём ПО держится на усилиях небольшой группы перегруженных волонтёров. Каждая новая зависимость увеличивает поверхность атаки, а фишинг одного разработчика способен стать глобальной угрозой.

Что нужно менять

Исследователи настаивают на ужесточении правил публикации. Сборки должны происходить только из предсказуемых CI-процессов, а сторонние загрузки должны блокироваться. Авторам пакетов рекомендуют использовать методы аутентификации, устойчивые к фишингу, прежде всего физические ключи. Без таких шагов цепочка поставок открытого кода остаётся крайне уязвимой. Этот эпизод напоминает: одного удачного письма хватает, чтобы потрясти весь интернет.