Добавить в корзинуПозвонить
Найти в Дзене
Aifory Pro
111 подписчиков

Эксперты сообщают о второй волне масштабных атак на npm — затронуты тысячи репозиториев

1
2 мин
Специалисты по кибербезопасности фиксируют вторую волну атак на реестр npm — крупнейшее хранилище пакетов для экосистемы JavaScript. На этот раз ущерб оказался куда серьёзнее: по разным оценкам, компрометированы 400–800 пакетов, а под удар попали более 25 000 репозиториев на GitHub. Речь идёт и о популярных проектах, включая Zapier, ENS, AsyncAPI, PostHog и Postman. Новая атака получила название Sha1-Hulud: The Second Coming. Исследователи из Aikido Security, Koi Security, Socket и других компаний отметили, что вредоносная кампания стала значительно агрессивнее по сравнению с первой волной. Основная угроза исходит от самовоспроизводящегося npm-червя Sha1-Hulud. В новой версии злоумышленники внедрили preinstall-скрипт — setup_bun.js, который незаметно скачивает и запускает инфицированный компонент bun_environment.js. Фактически это означает, что заражение происходит автоматически, когда разработчик устанавливает поддельный пакет. В Koi Security отметили: «Если Sha1-Hulud не может получ
Оглавление

Специалисты по кибербезопасности фиксируют вторую волну атак на реестр npm — крупнейшее хранилище пакетов для экосистемы JavaScript. На этот раз ущерб оказался куда серьёзнее: по разным оценкам, компрометированы 400–800 пакетов, а под удар попали более 25 000 репозиториев на GitHub. Речь идёт и о популярных проектах, включая Zapier, ENS, AsyncAPI, PostHog и Postman.

Что за кампания Sha1-Hulud и почему её называют “вторым пришествием”

Новая атака получила название Sha1-Hulud: The Second Coming. Исследователи из Aikido Security, Koi Security, Socket и других компаний отметили, что вредоносная кампания стала значительно агрессивнее по сравнению с первой волной.

Основная угроза исходит от самовоспроизводящегося npm-червя Sha1-Hulud. В новой версии злоумышленники внедрили preinstall-скрипт — setup_bun.js, который незаметно скачивает и запускает инфицированный компонент bun_environment.js.

Фактически это означает, что заражение происходит автоматически, когда разработчик устанавливает поддельный пакет.

Что делает вирус

  • использует TruffleHog для поиска ключей, паролей и чувствительных данных;
  • крадёт учётные данные, токены, доступы к сервисам;
  • если не удаётся украсть информацию — стирает данные пользователя, переходя от шпионажа к саботажу.

В Koi Security отметили:

«Если Sha1-Hulud не может получить доступ или выгрузить данные, он просто уничтожает их. Это серьёзная эволюция по сравнению с первой атакой».

Когда были загружены вредоносные пакеты

Согласно данным исследователей, заражённые пакеты попали в npm между 21 и 23 ноября 2025 года, и атака всё ещё продолжается.

Особенно пострадали проекты из криптоотрасли

В списке скомпрометированных пакетов есть минимум 10 библиотек, активно используемых в криптосфере. Среди них:

  • ensjs,
  • ens-validation,
  • ethereum-ens,
  • ens-contracts.

Все они связаны с экосистемой Ethereum Name Service и имеют тысячи установок еженедельно.

Также под угрозой оказался пакет crypto-addr-codec, который используется для работы с криптоадресами в разных блокчейнах.

Инциденты повторяются — и масштабы растут

Это далеко не первый подобный случай. Ранее злоумышленники взломали аккаунт разработчика qix в npm и компрометировали несколько популярных библиотек, но тогда ущерб оказался минимальным — около $50.

Сейчас ситуация значительно серьёзнее: заражение затронуло огромный пласт инфраструктуры и продолжается в реальном времени.

Обменять криптовалюту на наличные прямо сейчас в Aifory Pro

Узнать о крипте еще больше