Злоумышленники получили контроль над проектом популярного JavaScript-шаблонизатора art-template и внедрили вредоносный код в браузерную версию библиотеки. Под удар попали версии 4.13.3, 4.13.5 и 4.13.6 — в файл template-web.js добавили скрытую загрузку внешних скриптов с подставных доменов. Серверные Node.js-приложения атака не затрагивала, но тысячи сайтов, использующих клиентскую сборку, превратились в точку входа для заражения.
Вредоносный код анализировал устройство посетителя. Если жертва заходила с iPhone, создавался невидимый iframe, через который подгружался многоступенчатый эксплойт-пак Coruna. Аналитики SafeDep связали платформу с эксплуатацией уязвимости CVE-2024-23222 в JavaScriptCore — баг позволял выполнять произвольный код в Safari без какого-либо взаимодействия с пользователем. В цепочке использовались ошибки WebAssembly, обход ASLR и техники JIT heap spray для надёжной доставки ARM64 shellcode.
Финальная нагрузка целилась в криптовалютные кошельки — MetaMask, Trust Wallet, Phantom и Exodus. Заражённое устройство начинало передавать телеметрию на командный сервер через Cloudflare, фактически отдавая злоумышленникам ключи к активам жертвы. При этом весь процесс оставался полностью невидимым: ни всплывающих окон, ни предупреждений браузера.
Захват проекта готовился заранее. Оригинальный GitHub-аккаунт автора aui переименовали в goofychris, а в список мейнтейнеров npm добавили подставные учётные записи. Последняя чистая версия art-template вышла ещё в 2018 году под номером 4.13.2. Всем, кто использует библиотеку, рекомендуют срочно откатиться до этой версии, проверить CDN-кэш на подозрительные домены, а от браузерной сборки — отказаться полностью.
Эта атака стирает грань между supply chain и zero-click эксплойтами. Компрометация одной библиотеки превратила легитимные сайты в плацдарм для кражи криптоактивов, причём владельцы этих сайтов могли даже не подозревать, что их посетителей обчищают. Без строгого контроля зависимостей и аудита кэша доставки фронтенда подобные цепочки будут повторяться.