Криптомир в опасности: миллиард загрузок зараженного кода ставят под угрозу кошельки

Криптосообщество в панике: обнаружена масштабная уязвимость в JavaScript-пакетах, распространяемых через NPM, популярный менеджер пакетов. По словам технического директора Ledger Чарльза Гийеме, скомпрометирован аккаунт авторитетного разработчика, что привело к распространению вредоносного кода, способного подменять криптоадреса «на лету» и похищать средства пользователей.

«Я настоятельно рекомендую сейчас не подписывать никакие криптотранзакции», — предупреждает разработчик Cygaar, отмечая, что уязвимыми могут быть «различные крипто-сайты».

По данным компании Blockaid, занимающейся безопасностью блокчейнов, атака затронула около двух десятков популярных пакетов, включая «color-name» и «color-string». Проблема в том, что скомпрометированные пакеты уже были скачаны более миллиарда раз, что ставит под угрозу огромную часть криптопользователей.

Аналитики считают, что под угрозой находятся средства на «потенциально всех блокчейнах». Эксперты рекомендуют воздержаться от проведения транзакций до получения дополнительной информации и устранения уязвимости. В сложившейся ситуации, крайне важно проявлять бдительность и перепроверять адреса получателей перед подтверждением транзакций.

Прогноз: Инцидент, вероятно, приведет к ужесточению требований к безопасности в экосистеме NPM и других менеджерах пакетов, а также к разработке новых инструментов для выявления и предотвращения подобных атак в будущем. Разработчикам и пользователям следует ожидать волну обновлений безопасности и повышенного внимания к проверке стороннего кода.