Хакеры взломали главные библиотеки JavaScript

cryptonews.ruОпубликовано 2025-09-21Обновлено 2025-09-21

Хакеры взломали NPM — реестр пакетов (библиотек) для программного обеспечения на JavaScript, а затем загрузили вредоносную программу ради кражи криптовалют путем подмены адресов кошельков и перехвата транзакций. О взломе первыми сообщили эксперты работающей в области кибербезопасности компании Aikido Security.

По словам специалистов по безопасности, учетная запись провайдера, известного как qix, была взломана с помощью фишингового письма. Затем 18 популярных пакетовJavaScript были изменены вредоносной программой. Сотрудник службы поддержки qix подтвердил, что его аккаунт был взломан благодаря мейл-фишингу. Когда сотрудник начал удалять зараженные пакеты то быстро потерял доступ к своему аккаунту.

Вредоносная программа была разработана не для воздействия на среды разработки или серверы, а для перехвата либо подмены адресов криптокошельков путем изменения данных транзакций до того, как пользователи подпишут перевод, объяснили представители Aikido Security.

Интерфейс отображал правильного получателя, но криптоактивы перенаправлялись на адреса, контролируемые злоумышленниками. Список скомпрометированных включает такие крупные пакеты как Chalk, Debug, Ansi-styles. Кроме того, оказались затронуты утилиты вроде is-arrayish и библиотеки форматирования, такие как strip-ansi.

Для многих разработчиков эти пакеты являются основой приложений на JavaScript, то есть вредоносные версии программ уже могут быть запущены в системах по всему миру, заявили эксперты Aikido Security. Специалисты по безопасности рекомендовали разработчикам вернуться к заведомо безопасным версиям, проверяя все последние обновления пакетов и внимательно отслеживая транзакции — в случае, если приложения взаимодействуют с криптокошельками.

Ранее аналитики специализирующейся на безопасности блокчейнов компании PeckShield сообщили, что злоумышленники взломали созданную на блокчейне Sui децентрализованную платформу Nemo Protocol и украли $2,4 млн.

Похожее

Мы пытаемся защитить Биткоин': Почему BIP-110 теряет поддержку сообщества

Предложение по улучшению Bitcoin (BIP-110) — спорный софт-форк, направленный на ограничение произвольных данных (таких как Ordinals) в сети для защиты её основной функции как платёжной системы, — теряет поддержку сообщества. Генеральный директор Blockstream Адам Бэк утверждает, что обсуждения BIP-110 подпитываются неверными представлениями об архитектуре Bitcoin. Он признаёт проблему спама, но считает, что она уже решается рыночными механизмами (комиссиями, стимулами майнеров), а BIP-110 противоречит беспермиссивной природе Bitcoin. Майкл Сэйлор поддерживает эту позицию. Практическая поддержка форка низка: только 10 из 2016 блоков поддержали временное обновление 4 июля. Активность Ordinals упала до исторических минимумов (менее 10 000 в день), а цена Bitcoin снизилась на 45% за год. Критики считают, что форк на основе BIP-110 не получит широкой поддержки и отходит от фундаментальных принципов сети.

ambcrypto15 мин. назад

Мы пытаемся защитить Биткоин': Почему BIP-110 теряет поддержку сообщества

ambcrypto15 мин. назад

Взлом Bonzo Lend на $9 млн – Почему безопасные смарт-контракты не смогли его предотвратить

Протокол кредитования Bonzo Lend в сети Hedera (HBAR) понес убытки в размере $9,05 млн из-за эксплуатации уязвимости оракула. Атакующий манипулировал ценовыми данными SAUCE через уязвимость в проверке подписей поставщика оракулов Supra, что позволило взять кредиты, значительно превышающие стоимость залога. При этом смарт-контракты самого протокола и сеть Hedera не были скомпрометированы — уязвимость оказалась во внешней инфраструктуре оракулов. Аудит показал, что код протокола работал точно так, как был запрограммирован, но полагался на некорректные данные из доверенного внешнего источника. Этот инцидент высветил ключевую проблему DeFi: безупречное выполнение кода не защищает от эксплуатации самой логики протокола, если оракулы поставляют манипулируемые данные. В результате атаки рыночные показатели HBAR и общий объем заблокированных средств (TVL) в DeFi Hedera значительно снизились. Инцидент подчеркивает растущую важность создания отказоустойчивых и безопасных систем оракулов. Для защиты протоколов DeFi необходимы более строгие стандарты верификации внешних данных, экономическое моделирование и формальная верификация, выходящие за рамки традиционных аудитов смарт-контрактов.

ambcrypto2 ч. назад

Взлом Bonzo Lend на $9 млн – Почему безопасные смарт-контракты не смогли его предотвратить

ambcrypto2 ч. назад

Ethereum против Bitcoin: Является ли рост ETH на 5% в третьем квартале началом структурного перетока капитала?

Эфириум демонстрирует рост относительно Биткойна в третьем квартале, подкрепленный притоком средств в ETF Эфириума, который в этом месяце превысил $128 миллионов, опередив Биткойн. Ключевым фактором может стать запуск Robinhood Chain, Layer 2 решения, которое использует ETH в качестве газового токена и увеличивает активность в основной сети. Объем ETH, переведенный в эту экосистему, вырос почти в 10 раз за неделю, превысив $100 миллионов. Однако исторически Эфириуму сложно сохранять преимущество над Биткойном. Технический анализ показывает, что прошлый значительный квартальный рост пары ETH/BTC в 2025 году был временным. В июле доминирование Биткойна снова приближается к ключевому уровню сопротивления в 60%, что указывает на возможный обратный отток капитала. Таким образом, текущий рост на 5% может быть недостаточным для подтверждения устойчивой ротации. Вопрос заключается в том, являются ли эти улучшения фундаментальных показателей началом структурного сдвига капитала в сторону Эфириума или это очередная краткосрочная динамика.

ambcrypto4 ч. назад

Ethereum против Bitcoin: Является ли рост ETH на 5% в третьем квартале началом структурного перетока капитала?

ambcrypto4 ч. назад

Яблоко подает в суд на OpenAI, разгорается словесная война: Маск обвиняет Алтмана в мошенничестве, Алтман высмеивает его «космические дата-центры»

Эскалация конфликта между Илоном Маском и Сэмом Альтманом разворачивается на фоне выпуска их компаниями новых флагманских ИИ-моделей — GPT-5.6 от OpenAI и Grok 4.5 от SpaceXAI. Маск обвинил Альтмана в мошенничестве в отношении пользователей OpenAI. Альтман ответил, высмеяв проект Маска по созданию «космических центров обработки данных». Маск также заявил, что Альтман «украл благотворительный проект с открытым исходным кодом» и технологии Apple, на что ссылается иск Apple против OpenAI. Apple обвиняет OpenAI в краже коммерческой тайны для разработки собственного оборудования. Одновременно две компании представили конкурирующие модели-агенты: GPT-5.6 выделяется в сфере аналитики и кибербезопасности, а Grok 4.5 — в автономном программировании и имеет более низкую стоимость. Суд Apple может серьезно повлиять на партнерство двух технологических гигантов.

marsbit4 ч. назад

Яблоко подает в суд на OpenAI, разгорается словесная война: Маск обвиняет Алтмана в мошенничестве, Алтман высмеивает его «космические дата-центры»

marsbit4 ч. назад

Успех Robinhood Chain доказывает, что Ethereum не умер

Успех Robinhood Chain демонстрирует, что модель Ethereum L1+L2 становится предпочтительной инфраструктурой для реального бизнеса, а не для продажи токенов. В отличие от прошлой эпохи, когда проекты создавали блокчейны для монетизации собственных токенов, теперь компании, ориентированные на денежные потоки (как Robinhood), выбирают Ethereum в качестве базового слоя для надежности и ликвидности, а свои L2 (например, на базе Arbitrum) — для контроля, кастомизации и высокой производительности. Это рациональное бизнес-решение, позволяющее избежать затрат на создание независимого L1. Такие компании, как Coinbase с Base, следуют той же логике. Сдвиг в сторону реальной экономики на блокчейне укрепляет позиции Ethereum и его нативной валюты ETH, которая становится стандартом для газовых сборов и основой сетевых эффектов.

Odaily星球日报4 ч. назад

Успех Robinhood Chain доказывает, что Ethereum не умер

Odaily星球日报4 ч. назад

Торговля

Спот
活动图片