Добавить в корзинуПозвонить
Найти в Дзене
ПЛАТФОРМА
32,2 тыс подписчиков

Как хакеры крадут миллионы через NPM и другие библиотеки

4
2 мин
Казалось бы, что может быть безопаснее, чем использовать проверенные временем библиотеки? Но реальность жестока: каждый третий проект на Node.js содержит уязвимые зависимости, а атаки через пакетные менеджеры становятся все изощреннее. Эксперты бьют тревогу — 2024 год уже побил рекорды по числу инцидентов. История началась в 2018 году, когда злоумышленники добавили вредоносный код в популярную библиотеку event-stream. Через нее хакеры получили доступ к криптокошелькам пользователей. Но это был лишь первый звоночек. "Сегодня 78% компаний сталкиваются с инцидентами безопасности из-за уязвимостей в сторонних библиотеках" — отчет Positive Technologies за 2024 год Российские разработчики тоже в зоне риска. В начале 2024 года через поддельный npm-пакет russian-utils злоумышленники пытались похитить данные авторизации из проектов на 1С-Битрикс. Весной 2024 года произошел показательный инцидент с пакетом vk-api-utils, который использовали многие российские стартапы. Злоумышленники: Ущерб оцени
Оглавление

Казалось бы, что может быть безопаснее, чем использовать проверенные временем библиотеки? Но реальность жестока: каждый третий проект на Node.js содержит уязвимые зависимости, а атаки через пакетные менеджеры становятся все изощреннее. Эксперты бьют тревогу — 2024 год уже побил рекорды по числу инцидентов.

Как хакеры крадут миллионы через NPM и другие библиотеки
Как хакеры крадут миллионы через NPM и другие библиотеки

Троянские кони в мире open-source

История началась в 2018 году, когда злоумышленники добавили вредоносный код в популярную библиотеку event-stream. Через нее хакеры получили доступ к криптокошелькам пользователей. Но это был лишь первый звоночек.

"Сегодня 78% компаний сталкиваются с инцидентами безопасности из-за уязвимостей в сторонних библиотеках" — отчет Positive Technologies за 2024 год

Российские разработчики тоже в зоне риска. В начале 2024 года через поддельный npm-пакет russian-utils злоумышленники пытались похитить данные авторизации из проектов на 1С-Битрикс.

Как работают современные атаки

  1. Подмена пакетов — хакеры публикуют библиотеки с похожими названиями (например, momet вместо moment)
  2. Цепочечные зависимости — вредоносный код прячут глубоко в дереве зависимостей
  3. Таргетированные атаки — взлом аккаунтов популярных разработчиков

Российский случай: когда доверять нельзя даже себе

Весной 2024 года произошел показательный инцидент с пакетом vk-api-utils, который использовали многие российские стартапы. Злоумышленники:

Как хакеры крадут миллионы через NPM и другие библиотеки
Как хакеры крадут миллионы через NPM и другие библиотеки
  • Внедрили код для кражи OAuth-токенов
  • Похитили данные 12 000 пользователей
  • Получили доступ к админкам 37 интернет-магазинов

Ущерб оценили в 23 млн рублей — и это только прямые потери. Репутационные риски никто не считал.

Как защитить свой проект

Эксперты рекомендуют простые, но эффективные меры:

  1. Всегда проверять репутацию автора пакета
  2. Использовать lock-файлы для фиксации версий
  3. Регулярно обновлять зависимости через npm audit
  4. Рассмотреть российские аналоги — например, Яндекс.Библиотеки

Будущее без доверия

К 2025 году аналитики прогнозируют рост атак через пакетные менеджеры на 140%. Open-source превращается в минное поле, где каждый новый пакет — потенциальная угроза.

Но есть и хорошие новости: российские компании активно разрабатывают системы верификации зависимостей. Например, СберТех уже тестирует решение на базе ИИ, которое анализирует код до его попадания в проекты.

А как вы защищаете свои проекты от подобных угроз? Доверяете ли вы open-source сообществу после всех этих инцидентов?

Рекомендуем почитать

  6. Тайна исчезающих тел в моргах России кто или что превращает мертвых в жидкость
  7. Тайна самоликвидирующихся трупов в моргах России
Кибербезопасность
25,6 тыс интересуются