В истории цифровой безопасности произошёл момент, который уже называют крупнейшей атакой на цепочку поставок программного обеспечения: 18 JavaScript-пакетов, суммарно скачиваемых более 2 миллиардов раз в неделю, были заражены вредоносным кодом, предназначенным для кражи криптовалюты. Это не просто инцидент — это тревожный сигнал о фундаментальной хрупкости современного программного ландшафта.
Представьте себе: неумолимый Танос, вооружённый Перчаткой Бесконечности, не стирает половину вселенной, а вместо этого — с пугающей лёгкостью — похищает цифровые активы. И пусть это кажется менее разрушительным, сам факт того, насколько просто было осуществить подобное вмешательство, вызывает не облегчение, а глубокую тревогу.
Как сообщает Aikido, вредоносный код был внедрён в 18 популярных пакетов, распространяемых через npm — крупнейший менеджер пакетов для экосистемы Node.js. Код исполнялся на стороне клиента, незаметно перехватывая криптоактивность в браузере, подменяя адреса кошельков и перенаправляя средства на счета злоумышленников. Всё это — без малейших признаков для пользователя.
Список целевых активов включает Ethereum, Bitcoin, Solana, Tron, Litecoin и Bitcoin Cash. И хотя точный масштаб распространения заражённых пакетов остаётся неизвестным, их популярность и частота загрузок — результат автоматических сборок и постоянного обновления зависимостей — делают угрозу по-настоящему глобальной. Любая организация, использующая эти библиотеки, должна срочно проверить свои системы.
Но был ли это сложный, многоуровневый взлом? Увы, нет. Всё началось с банального фишинга: разработчик, известный под псевдонимом "bad-at-computer", получил письмо, якобы от службы поддержки npm, с запросом на сброс двухфакторной аутентификации. Письмо выглядело правдоподобно. Он поверил. И этого оказалось достаточно.
Это не новая проблема. Уже в 2021 году сообщалось о целенаправленных атаках на разработчиков пакетов для JavaScript, Python, Ruby и Java. А инцидент с удалением 11 строк кода в библиотеке left-pad в 2016 году, который буквально «сломал интернет», стал символом системной зависимости от хрупких компонентов.
Индустрия пыталась реагировать: внедрение SBOM (списков компонентов ПО), обязательная двухфакторная аутентификация для популярных разработчиков — всё это шаги в правильном направлении. Но нынешний инцидент показывает: этих мер недостаточно. Пока не изменятся базовые процессы разработки, поддержки и распространения ПО, подобные атаки будут повторяться.
На этот раз Перчатка Бесконечности была использована для кражи криптовалюты. Но что будет в следующий раз? Будет ли следующий «щелчок» направлен на разрушение критической инфраструктуры, или мы наконец увидим появление механизмов, способных остановить эту угрозу? Танос утверждал, что он неизбежен. Неужели мы действительно готовы признать, что в цифровом мире он был прав?
Оригинал
Уникальность
