Эксперты заявили о второй волне атак на реестр npm

cryptonews.ruPublié le 2025-09-24Dernière mise à jour le 2025-11-25

  • Эксперты в сфере кибербезопасности заявили о второй волне атак на реестр npm.
  • Были скомпрометированы до 800 пакетов, инцидент затронул более 25 000 репозиториев и множество популярных проектов.
  • Злоумышленники используют самовоспроизводящегося червя Sha1-Hulud.

Различные эксперты, в частности из Aikido Security, Koi Security, Socket и другие, заявили о второй волне атак на реестр npm, онлайн-хранилище JavaScript-пакетов. Были скомпрометированы сотни пакетов, включая те, что используются в криптовалютной сфере.

Вредоносная кампания получила название Sha1-Hulud: The Second Coming. Точное количество скомпрометированных пакетов на момент написания неизвестно, по разным оценкам это число составляет от 400 до 800, но реальное значение может быть больше.

Были затронуты более 25 000 репозиториев на GitHub, принадлежащих свыше 500 пользователям, и такие проекты, как Zapier, ENS, AsyncAPI, PostHog, Postman.

Непосредственно само вредоносное ПО Sha1-Hulud — это самовоспроизводящийся npm-червь. Отличием второй волны атак является использование злоумышленниками preinstall скрипта (setup_bun.js) в списке пакетов (package.json), который настроен на скрытую установку и запуск вложения (bun_environment.js), что и является вирусом.

Для поиска и кражи информации используется TruffleHog. При этом, как отметили в Koi Security, новая волна атак более агрессивная. При определенных условиях ПО попросту стирает пользовательские данные.

«Другими словами, если Sha1-Hulud не удается украсть учетные данные, получить токены или обеспечить канал для передачи данных, он уничтожает информацию. Это знаменует собой существенный прогресс по сравнению с первой волной, поскольку тактика злоумышленников смешается от чистого хищения данных к карательному саботажу», — заявили исследователи.

Известно, что вредоносные пакеты npm загрузили в реестр между 21 и 23 ноября 2025 года. Атака все еще продолжается.

Из скомпрометированного перечня пакетов, который фигурирует, например, в заметке Aikido Security, как минимум 10 активно используются в криптовалютной сфере. Это, например, ensjs, ens-validation, ethereum-ens и ens-contracts, связанные с проектом Ethereum Name Service и с тысячами еженедельных загрузок.

Еще как минимум один скомпрометированный пакет, активно используемый в сфере, — это crypto-addr-codec.

Ранее мы сообщали о схожем инциденте — взломали аккаунт известного разработчика qix в менеджере пакетов для JavaScript. Злоумышленники воспользовались этим, чтобы скомпрометировать множество популярных библиотек. Однако ущерб от действий хакеров составил всего $50.

Lectures associées

Les marchés mondiaux entrent dans un « été agité » : vigilance face aux changements de la Fed, à la crise du yen et au test des résultats trimestriels

Les marchés financiers mondiaux, apparemment calmes, accumulent les risques avant un été potentiellement agité. La volatilité pourrait être déclenchée par plusieurs facteurs. La principale incertitude provient de la nouvelle direction de la Fed. Son président, Kevin Warsh, a réduit les communications prospectives, rendant la trajectoire monétaire moins lisible pour les investisseurs. Cette opacité, combinée aux tensions géopolitiques et aux craintes inflationnistes liées au pétrole, fait pression sur les obligations et les actions. Le yen japonais, à son plus bas depuis 40 ans, constitue un autre point de fragilité. Une intervention potentielle des autorités nippones pourrait déstabiliser le marché obligataire mondial, tandis qu'un rebond soudain de la monnaie provoquerait des liquidations massives de trades de portage, répandant le stress. Parallèlement, le marché actions américain montre des signes de tension interne malgré un indice de volatilité (VIX) bas. Les indicateurs de fragilité atteignent des niveaux élevés, et l'écart entre la volatilité des indices et celle des titres individuels est important. La saison estivale, traditionnellement moins liquide, amplifierait tout choc. Dans ce contexte, la saison des résultats du Q2, anticipée avec des attentes de croissance très fortes (jusqu'à +24% pour le S&P 500), arrive au pire moment. Toute déception pourrait entraîner de fortes corrections, notamment dans la tech, un secteur dont l'enthousiasme s'est déjà érodé. Les experts recommandent aux investisseurs de diversifier leurs portefeuilles et de se couvrir de manière appropriée pour naviguer dans cette période incertaine.

marsbitIl y a 52 mins

Les marchés mondiaux entrent dans un « été agité » : vigilance face aux changements de la Fed, à la crise du yen et au test des résultats trimestriels

marsbitIl y a 52 mins

Circle obtient la "licence d'infrastructure fédérale" pour les stablecoins : La signification profonde de l'approbation finale de l'OCC pour Circle National Trust

Circle, émetteur de l'stablecoin USDC, a obtenu l'approbation finale de l'OCC (Office of the Comptroller of the Currency) pour créer la Circle National Trust, une banque fiduciaire nationale. Cet événement marque la première entrée d'un émetteur d'stablecoin dans le système de régulation financière fédéral américain en tant qu'entité de fiducie. Contrairement à une banque commerciale, cette entité ne collecte pas de dépôts et n'offre pas de prêts. Sa fonction initiale est la garde d'actifs numériques pour Circle et ses entités affiliées, avec une ouverture future possible à des clients institutionnels. La gestion des réserves (backing) de l'USDC est envisagée comme une capacité future, démontrant une approche prudente et progressive de la régulation. Cette licence fédérale apporte une crédibilité réglementaire cruciale, facilitant l'adoption de l'USDC par les institutions financières traditionnelles (banques, gestionnaires d'actifs). Elle permet à Circle de construire une infrastructure verticale intégrée pour l'émission, la garde et, à terme, la gestion des réserves de son stablecoin, le faisant évoluer d'un simple stablecoin vers une infrastructure de règlement numérique de confiance. Cette étape renforce l'USDC en tant que "rail de règlement" pour les paiements transfrontaliers et les transactions en temps réel, sans remplacer les acteurs de paiement existants comme Visa ou Stripe, mais en offrant une couche de règlement complémentaire et plus régulée. Cela marque un tournant dans la concurrence des stablecoins, qui passe de l'émission à la maîtrise de l'infrastructure régulée, plaçant Circle en position avancée face à des concurrents comme Tether dans cette nouvelle phase.

链捕手Il y a 55 mins

Circle obtient la "licence d'infrastructure fédérale" pour les stablecoins : La signification profonde de l'approbation finale de l'OCC pour Circle National Trust

链捕手Il y a 55 mins

Trading

Spot
活动图片