Цена паники для IT-мира — $600. Почему историческая атака оказалась настолько унизительно провальной?

leer en español

npm Wiz Security Alliance Socket DuckDB криптовалюта цепочка поставок
Цена паники для IT-мира — $600. Почему историческая атака оказалась настолько унизительно провальной?
npm Wiz Security Alliance Socket DuckDB криптовалюта цепочка поставок

Крупнейший взлом облачных сервисов обернулся для хакеров финансовым провалом

image

Крупнейшая в истории экосистемы NPM компрометация цепочки поставок задела примерно каждую десятую облачную инфраструктуру по всему миру, однако злоумышленники практически ничего на этом не заработали. Инцидент произошёл после того, как разработчик Джош Жюнон (известный под ником qix) стал жертвой фишинговой рассылки для сброса пароля. В результате атакующие получили доступ к его учётной записи и внедрили вредоносные обновления в несколько популярных пакетов, среди которых chalk и debug-js. Суммарно эти проекты скачиваются более 2,6 миллиарда раз каждую неделю.

Попав внутрь инфраструктуры, злоумышленники встроили в релизы модуль для кражи криптовалюты. Его задача заключалась в том, чтобы при транзакциях незаметно подменять адреса получателей на кошельки атакующих. Сообщество среагировало очень быстро — все заражённые пакеты удалили с NPM менее чем за два часа после публикации. Но даже этого короткого времени хватило для того, чтобы масштаб заражения оказался рекордным. По данным Wiz, около 99% облачных сред используют хотя бы один из затронутых проектов, и примерно 10% успели загрузить вредоносные версии.

Специалисты Wiz отметили, что случай наглядно демонстрирует, с какой скоростью может распространяться вредоносный код в экосистеме открытого ПО. Хотя компрометация длилась всего пару часов, заражённые библиотеки проникли в каждый десятый облачный сервис, что сделало инцидент одним из самых быстрых и масштабных в истории цепочных атак. При этом реальные последствия оказались неожиданно незначительными. Аналитики Security Alliance установили , что вредоносный код был ориентирован исключительно на браузерные окружения и предназначался для перехвата операций с Ethereum и Solana. Атакующие перезаписывали адреса криптокошельков, но не использовали полученный доступ для установки шеллов, бокового перемещения или закладки деструктивных программ.

Именно выбор цели и ограниченность функционала позволили избежать куда более тяжёлых последствий. Несмотря на широкий охват и десятки тысяч компаний, оказавшихся под ударом, финансовая выгода злоумышленников оказалась символической. Из всей атаки они получили лишь несколько центов в ETH и порядка двадцати долларов в малоизвестном мемкоине. Cуммарная прибыль с учётом всех кошельков составила около $429 в Ethereum , $46 в Solana и около $600 в совокупности с другими активами — Bitcoin, Tron, BCH и Litecoin. Адреса, на которых оказались эти средства, уже отмечены и находятся под контролем, что фактически исключает возможность их обналичивания.

Отдельно выяснилось, что та же самая фишинговая кампания ударила и по разработчику DuckDB. Его учётная запись также была использована для публикации изменённых пакетов с тем же криптоворующим кодом. Таким образом, масштаб атаки оказался ещё шире, чем первоначально предполагалось. Тем не менее общая сумма незаконно полученных средств не превысила тысячи долларов, что резко контрастирует с колоссальными затратами компаний на проверку и восстановление инфраструктуры после происшествия.