«Наймасштабніша JS-атака в історії»: хакери зламали обліковий запис NPM

Компанія Aikido Security виявила наймасштабнішу атаку на екосистему JavaScript. Хакери зламали обліковий запис одного з мейнтейнерів NPM — реєстру JS-пакетів (бібліотек) для ПЗ. Він отримав листа з підробленої адреси support@npmjs.help, яка зареєстрована 5 вересня 2025 року, повідомляє Cointelegraph. 

Скомпрометовані пакети використовуються у мільйонах проектів у всьому світі — загальна кількість завантажень лише за тиждень перевищує 2 млрд.

Незважаючи на те, що хакери швидко опублікували оновлення для 18 популярних пакетів і завантажили шкідливу програму для крадіжки криптовалют, їм не вдалось багато заробити. Дослідники стверджують, що зловмисники викрали криптовалюту на суму лише $50.

«Уявіть собі: ви скомпрометували обліковий запис NPM-розробника, чиї пакети завантажуються понад 2 мільярди разів на тиждень. Ви могли б мати необмежений доступ до мільйонів комп’ютерів розробників. На вас чекають незліченні багатства. Але ви отримуєте менше 50 доларів» — пише Security Alliance. 

За словами експерта з кібербезпеки SEAL, хакер не повністю використав обсяг доступу, який мав: «Це як знайти ключ-картку до Форт-Нокса та використовувати її як закладку. Шкідливе програмне забезпечення було широко поширене, але на даний момент майже повністю нейтралізоване»,