Фишинг и атаки на цепочку поставок: как криптохакеры взламывают через Chrome, npm и GitHub

«Самый надёжный замок бесполезен, если дверь оставить открытой.»
— Брюс Шнайер, эксперт по кибербезопасности

В декабре 2025 года криптоиндустрия столкнулась с новой волной атак, которые больше не требуют взлома смарт-контрактов или перехвата seed-фраз. Вместо этого хакеры эксплуатируют человеческий фактор и уязвимости в цепочке поставок ПО: вредоносные расширения Chrome, поддельные npm-пакеты и скомпрометированные GitHub-репозитории становятся главными векторами краж. Только за первую неделю декабря потери превысили $15 млн, а большинство жертв даже не подозревают, как именно их кошельки были скомпрометированы.

🔌 Вредоносные расширения Chrome: тихий дренаж вместо громкого взлома

Один из самых опасных трендов — зловреды вида Crypto Copilot, маскирующиеся под удобные инструменты для трейдинга. Как выяснила компания Socket, это расширение для Google Chrome позволяет пользователям совершать свопы на Solana прямо из ленты X (бывший Twitter). Однако при каждой транзакции оно добавляет вторую, скрытую инструкцию, которая переводит часть SOL (минимум 0.0013 или 0.05% от объёма) на кошелёк злоумышленника.

Хитрость в том, что интерфейс показывает только данные о свопе, а экран подтверждения в кошельке (Phantom, Backpack) сводит всю транзакцию к одной строке — пользователь не видит составных действий. При этом транзакция выполняется атомарно на цепочке, и отменить только «вредоносную» часть невозможно.

Расширение существует с июня 2024 года и, несмотря на всего 15 установок в Chrome Web Store, могло нанести ущерб тысячам пользователей, установивших его из Telegram, Twitter или фишинговых лендингов.

📦 Атаки через npm и другие менеджеры пакетов

Разработчики криптопроектов всё чаще становятся мишенью через скомпрометированные зависимости. В ноябре 2025 года хакеры опубликовали пакет solana-wallet-ui-pro — почти идентичную копию легитимного @solana/wallet-adapter. Те, кто ошибся при установке, получили в production-сборку вредоносный код, перенаправляющий транзакции на фишинговые адреса.

По данным Socket.dev, в 2025 году:

• Более 3 000 поддельных npm-пакетов были опубликованы ежемесячно.
• 74% всех инцидентов в Web3 начались именно с цепочки поставок, а не с уязвимостей в смарт-контрактах.
• Средний ущерб от одного такого инцидента — $280 000.

Особенно уязвимы команды, где стажёры или фрилансеры управляют зависимостями без двойной проверки.

🐙 GitHub и CI/CD: когда инфраструктура становится точкой входа

В октябре 2025 года хакеры получили доступ к GitHub-аккаунту разработчика DeFi-протокола через утечку токена в публичном репозитории. Используя права на запись, они внедрили скрипт в CI/CD-пайплайн, который при каждой сборке заменял адрес кошелька в фронтенде.

Пользователи продолжали заходить на «официальный» сайт, но все переводы шли на контролируемый хакерами адрес. Атака длилась 11 дней и унесла $4.2 млн, пока команда не заметила аномалии в метриках.

Это демонстрирует: даже без компрометации приватных ключей можно украсть средства, если атаковать на уровне инфраструктуры.

🛡️ Как защититься: рекомендации для пользователей и разработчиков

Для пользователей:

• Никогда не устанавливайте расширения вне официального магазина. Даже если ссылка пришла от «доверенного» автора.
• Всегда проверяйте адрес получателя на экране аппаратного кошелька. Не доверяйте отображению в браузере.
• Используйте отдельный браузер только для криптоопераций — без соцсетей, мессенджеров и расширений.
• Установите антифишинговые плагины: Blockaid, Wallet Guard, MetaMask Phishing Detector.

Для разработчиков:

• Проверяйте источники всех npm-пакетов — только официальные организации (@metamask, @solana).
• Используйте Subresource Integrity (SRI) для всех внешних скриптов.
• Храните CI/CD-токены в защищённых vault-ах (HashiCorp Vault, GitHub Secrets).
• Сканируйте production-сборки через Revoke.cash Scanner или Socket.dev.

🌐 Контекст: рост автоматизированных атак в 2025 году

Цепочка поставок стала главной мишенью, потому что:

• Высокая автоматизация — одна утечка даёт доступ ко всей инфраструктуре.
• Низкий порог входа — не нужны навыки взлома блокчейна, достаточно знать npm и GitHub.
• Минимальный риск — атаки происходят до попадания в mainnet, и их трудно отследить.

Как отметил исследователь из Chainalysis: «Хакеры больше не ломают код. Они ломают доверие к инструментам, на которые мы полагаемся каждый день.»

🔮 Будущее: автоматизация защиты цепочки поставок

В 2026 году ожидается рост спроса на:

• Автоматические SBOM (Software Bill of Materials) — точный перечень всех зависимостей.
• Поставки с подписью кода через Sigstore и in-toto.
• Изоляция Web3-контекста в браузерах — предупреждения о подозрительном поведении фронтенда.

Кроме того, Google и Mozilla тестируют расширенную модерацию в Web Store, включая динамическое сканирование поведения расширений в песочнице.

✅ Заключение: безопасность начинается с первого npm install

Фишинг и атаки на цепочку поставок — напоминание: в современном Web3 безопасность — это не только аудит контрактов, но и каждая строка в package.json, каждый клик по ссылке и каждый введённый пароль. Как сказал Брюс Шнайер: «Угроза больше не в алгоритмах. Угроза — в том, что мы доверяем слишком многому без проверки.»

Именно эта проверка — последняя, но самая важная, линия обороны.