💻 Письмо счастья 8 сентября 2025 года Aikido Security сообщила о крупнейшей supply-chain атаке на JavaScript. Всё началось с фишингового письма: злоумышленники угнали аккаунт мейнтейнера npm и выложили заражённые версии 18 ключевых пакетов. Суммарно их скачивают более 2,6 млрд раз в неделю. Вредоносный код срабатывал только в браузере и перехватывал Web3-трафик. ▎ Что делал вредонос: ➡️Встраивался в fetch и XMLHttpRequest; ➡️Подменял адреса кошельков в sendTransaction, approve, transfer; ➡️Использовал схожие адреса для незаметной подмены; ➡️Манипулировал параметрами транзакций прямо на этапе подписи. Иными словами — крипто-клиппер прямо внутри зависимостей, которые стоят почти в каждом проекте. ▎ Список подтверждённых заражённых версий: ➡️ansi-styles@6.2.2 ➡️debug@4.4.2 ➡️chalk@5.6.1 ➡️supports-color@10.2.1 ➡️strip-ansi@7.1.1 ➡️ansi-regex@6.2.1 ➡️wrap-ansi@9.0.1 ➡️color-convert@3.1.1 ➡️color-name@2.0.1 ➡️is-arrayish@0.3.3 ➡️slice-ansi@7.1.1 ➡️color@5.0.1 ➡️color-string@2.1.1 ➡️simple-swizzle@0.2.3 ➡️supports-hyperlinks@4.1.1 ➡️has-ansi@6.0.1 ➡️chalk-template@1.1.1 ➡️backslash@0.2.1 ➡️error-ex@1.3.3 ▎ Что делать разработчикам прямо сейчас: ✅Проверить package-lock.json, yarn.lock, pnpm-lock.yaml на наличие заражённых версий; ✅Удалить их из дерева зависимостей и пересобрать проект; ✅Очистить кэш пакета; ✅Переустановить зависимости с нуля и заново зафиксировать версии; ✅Пересобрать фронтенд-бандлы, инвалидировать CDN/кэши; ✅Проверить логи на внешние запросы из бандла; ✅Ротировать ключи/токены и усилить 2FA в npm. Даже одно фишинговое письмо способно обернуться катастрофой для всей экосистемы. Не ведитесь на фишинги! #новость