Wiz: атака на пакеты npm затронула до 10% облачных сред и остаётся активной

Компания Wiz опубликовала результаты анализа недавней кампании по компрометации npm-пакетов, которая стала одной из крупнейших атак на цепочку поставок в 2025 году. По данным отчёта, вредоносный код, внедрённый в популярные библиотеки, был обнаружен как минимум в 10% облачных сред, несмотря на то что заражённые версии находились в открытом доступе всего два часа.

Инцидент начался с компрометации учётной записи известного разработчика «qix», осуществлённой с помощью социальной инженерии. Злоумышленники опубликовали троянизированные версии популярных пакетов, встроив в них вредоносный модуль для кражи криптовалют. Если бы эти версии попали в сборки фронтенда, вредоносная нагрузка активировалась бы в браузерах пользователей, перехватывая сетевые и кошельковые API. Это позволило бы подменять получателей транзакций и перенаправлять средства на кошельки атакующих.

Wiz отмечает, что даже за короткий промежуток времени вредоносные версии успели распространиться достаточно широко, чтобы их следы были зафиксированы в десятой части облачных инфраструктур.

Параллельное исследование JFrog подтвердило, что атака не ограничилась одной учётной записью. После взлома профиля qix были выявлены скомпрометированные аккаунты других разработчиков, в частности duckdb. В результате в реестр npm попали заражённые пакеты @duckdb/node-api@1.3.3, @duckdb/duckdb-wasm@1.29.2, @duckdb/node-bindings@1.3.3 и duckdb@1.3.3.

По данным JFrog, эти версии были удалены оперативно и почти не успели получить загрузок. Однако факт многократных взломов указывает на то, что кампания остаётся активной и направлена на систематическое проникновение в экосистему npm.

Эксперты заявляют, что подобные инциденты показывают хрупкость цепочек поставок программного обеспечения. Даже кратковременная публикация заражённых пакетов может привести к массовому распространению вредоносного кода в облачных инфраструктурах и веб-приложениях.