2025-12-30 05:24:56

В марте этого года сообщество разработчиков столкнулось с тревожным инцидентом безопасности — миллионы скачиваний JavaScript-пакетов, содержащих вредоносный код для кражи криптовалюты. Эти казалось бы безобидные компоненты с открытым исходным кодом на самом деле были оснащены тщательно спроектированными хакерами программами для кражи криптовалюты. Атака осуществлялась путём загрязнения ключевых зависимостей в экосистеме npm, что позволило создать полностью автоматизированный механизм распространения вредоносного кода.

**Как работает тройной скрытный механизм атаки**

Центром всей атаки является "угон зависимостей" — когда вы импортируете загрязнённую стороннюю библиотеку в проект, вредоносный код запускается молча и начинает сканировать локальные файлы криптогаманцев. В этом механизме есть три хитрых элемента:

Первое — **маскировка окружения**. Программа активируется только при определённых IP-адресах или языковых настройках системы, в тестовой среде она притворяется безобидной. Так безопасность практически не обнаружит угрозу.

Второе — **выявление ключей**. Для настольных кошельков, созданных на базе Electron, злоумышленники используют системные разрешения файлов для прямого похищения приватных ключей. Пользователь при этом ничего не замечает.

Третье — **отмывание средств в блокчейне**. Украденные активы через межцепочные мосты превращаются в приватные монеты, а затем попадают в ликвидность на определённых DEX для очистки. Как только деньги попадают в DeFi-черную дыру, их практически невозможно отследить.

**Почему экосистема с открытым исходным кодом так уязвима**

Этот инцидент выявил смертельный недостаток мира open source: более 78% JavaScript-проектов зависят от сторонних библиотек, которые никогда не проходили аудит безопасности. Хакеры могут просто захватить аккаунт одного из мейнтейнеров и внедрить вредоносный код во всю цепочку зависимостей. После загрязнения источника заражения все проекты, использующие его, оказываются под угрозой. А украденные активы через механизмы микширования переводятся в тёмные финансовые сети. Это уже выходит за рамки технических проблем и становится новым видом экономической угрозы в цифровую эпоху.

Посмотреть Оригинал

На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .

6 Лайков

Награда
6
4
Репост
Поделиться

комментарий

0/400

AirdropHunter

· 6ч назад

О боже, разве экосистема NPM так преувеличена? Любой может отравить просто так. --- Набор для отмывания денег в блокчейне действительно впечатляет, и как только вы попадаете в ликвидный пул DEX, он становится призрачным активом --- 78%... Я сказал, что мне спокойнее писать библиотеку, и теперь у меня наконец появилась причина, ха-ха --- Поэтому разработчик вынужден быть соучастником, и аккаунт защитника умирает сразу после потери — что действительно возмутительно --- Подождите, значит, Куань, который мы используем, небезопасен, и я немного паникую --- Смешивая монеты с монетами приватности, а затем с отмыванием денег DeFi, эта ссылка на атаку задумана довольно жестоко, мягко говоря, немного художественно --- Просто модель доверия NPM рухнула, и никто не хочет её менять --- Я даже не знаю, как предотвратить сканирование локальных файлов кошелька хакерами, так что что ещё происходит? --- Цепь зависимости — это ядовитая цепь, и все злодеи выше по течению похоронены, что слишком отчаянно

Посмотреть ОригиналОтветить0

StakeTillRetire

· 7ч назад

Насколько же это жестоко, экология NPM так упала? --- Вот почему я никогда не доверяю библиотекам этих маленьких сопровождающих, и цепочка зависимостей вылетает за один раз --- Отслеживание клавиш настолько удобно, что пользователи не могут распознать, что происходит --- В итоге деньги, поступающие в DEX, действительно исчезают, и смешивание монет становится совершенно неконтролируемым --- Настолько ли плохо осведомленность о безопасности у поддерживающих open source проектов? Позвольте мне пересмотреть все мои зависимости --- Подумав, к счастью, приватный ключ кошелька никогда не был на устройстве с интернет-соединением, и холодный кошелек стал настоящим спасением --- Это возмутительно, один аккаунт может отравить всю экосистему, NPM должен отражать это --- Эти 78% проектов — это как бегать голым, и это вызывает у меня мурашки по спине

Посмотреть ОригиналОтветить0

Token_Sherpa

· 7ч назад

Честно говоря, этот кошмар с цепочками зависимостей — именно причина, по которой я перестал доверять «проверенным» пакетам много лет назад... Атаки на цепочку поставок ощущаются по-другому, когда вся ваша инфраструктура построена на непроверенном коде

Посмотреть ОригиналОтветить0

SelfCustodyIssues

· 7ч назад

Теперь экосистема npm действительно в опасности, кто еще осмелится использовать сторонние библиотеки --- Тактика маскировки окружения просто отличная, даже песочницу обмануть удалось, насколько жестко --- Значит, мне все равно придется самостоятельно проверять каждую строку кода, утомительно до смерти --- Пулы ликвидности DEX стали черной дырой для отмывания денег, сама система DeFi изначально flawed --- Захват аккаунта мейнтейнера может заразить всю цепочку... действительно, нельзя доверять открытым исходникам --- Это настоящая атака на цепочку поставок, страшнее любого ransomware --- 78% библиотек не прошли аудит? Значит, зависимости в моем проекте — это бомбы замедленного действия --- Если приватный ключ украден, что делать дальше? Вот и риск самоуправляемого хранения --- Мосты между цепочками превращают в приватные монеты и снова идут в DEX, весь процесс — настоящий идеальный преступный сценарий --- npm должен обязать проводить безопасный аудит каждого пакета, сейчас это слишком произвольно

Посмотреть ОригиналОтветить0