Критическая уязвимость в JavaScript библиотеке ставит под угрозу криптоактивы

Критическая уязвимость в популярной JavaScript библиотеке error-ex, используемой в крипто-транзакциях, может поставить под угрозу средства пользователей. Об этом предупредил технический директор Ledger Чарльз Гийемет.

Хакеры, предположительно, взломали npm аккаунт неназванного, но «хорошо известного» разработчика. Вредоносный код был внедрен в небольшую, но широко используемую JavaScript библиотеку error-ex, которую скачали более миллиарда раз и которая встроена в бесчисленное количество приложений и сервисов.

Суть атаки заключается в скрытом мониторинге криптовалютных транзакций. Когда пользователь пытается отправить Bitcoin, Ethereum, Solana или другие токены, вредоносное ПО подменяет адрес кошелька получателя на кошелек, контролируемый злоумышленниками. Пользователь видит правильный адрес, но деньги уходят мошенникам.

Аналитики предупреждают, что код может перехватывать транзакции на разных уровнях: изменяя отображение веб-сайтов, модифицируя фоновые процессы и даже обманывая приложения, заставляя их неправильно отображать подписываемые пользователями данные.

Гийемет рекомендует владельцам аппаратных кошельков Ledger внимательно проверять каждую транзакцию на экране устройства перед ее подтверждением. Поскольку аппаратный кошелек отображает истинный адрес получателя, бдительные пользователи могут вовремя заметить подмену. Пользователям программных кошельков рекомендуется воздержаться от проведения любых ончейн-транзакций до полного понимания масштаба атаки.

Исследователи называют этот взлом крупнейшей атакой на цепочку поставок открытого программного обеспечения в истории. Инцидент подчеркивает уязвимость общих программных библиотек и прямые финансовые риски, которые они могут создавать в мире криптовалют. По мнению экспертов, произошедшее может стать катализатором для пересмотра подходов к безопасности в разработке программного обеспечения с открытым исходным кодом, особенно в сфере, связанной с финансами.