Экосистема разработки Web3 снова стала ареной для изощренных атак на инфраструктуру. Аналитическая платформа SlowMist зафиксировала скоординированную кампанию вредоносных действий в реестре npm, нацеленную на создателей DeFi-протоколов и крипто-трейдеров. Злоумышленники развернули более 30 вредоносных пакетов, маскирующихся под популярные торговые боты и утилиты для взаимодействия с блокчейном. За фасадом легитимного open-source кода скрывались JavaScript-инфостилеры, способные в считанные секунды извлечь приватные ключи, seed-фразы и сессионные куки из машин разработчиков. Этот инцидент ярко демонстрирует, почему атаки на цепочку поставок (supply-chain attacks) остаются главным экзистенциальным риском для индустрии в 2026 году.
📊 Ключевой факт: По данным отчета SlowMist, вредоносные пакеты использовали уязвимости хуков postinstall в package.json. Это означало, что вредоносный код исполнялся автоматически в момент запуска команды npm install, еще до того, как разработчик успевал интегрировать библиотеку в свой проект.
Атака, выявленная системой MistEye от SlowMist, не была спонтанной. Это тщательно спланированная операция, использующая психологию разработчиков, которые постоянно ищут готовые решения для ускорения работы. Вместо того чтобы писать собственный код для взаимодействия с DEX или мемпулом, программисты ищут готовые npm-пакеты. Хакеры создают репозитории с убедительными README-файлами, примерами кода и даже фейковыми отзывами.
package.json прописывается скрипт postinstall. Этот хук автоматически запускает скрытый JavaScript-файл сразу после скачивания зависимостей.«Безопасность — это не продукт, а процесс. Но когда этот процесс делегируется коду, который вы скачиваете из интернета, вы фактически приглашаете незнакомца в свой дом и даете ему ключи от всех комнат», — Брюс Шнайер, эксперт по кибербезопасности.
Современные крипто-стилеры, написанные на JavaScript, обладают пугающей эффективностью. Они не требуют повышения привилегий (root/admin) и работают в контексте обычного пользователя.
| Цель | Где хранится | Последствия кражи |
|---|---|---|
| Приватные ключи и seed-фразы | Файлы .json, текстовые документы, .env | Полный контроль над кошельками, вывод всех активов |
| Сессионные токены браузеров | LocalStorage, IndexedDB, Cookies | Обход 2FA, доступ к биржам и DeFi-протоколам без пароля |
| API-ключи бирж | Переменные окружения, конфиги ботов | Автоматическая торговля от имени жертвы, вывод средств |
| SSH и AWS ключи | Директории ~/.ssh, ~/.aws | Компрометация серверов, внедрение бэкдоров в инфраструктуру |
💡 Технический нюанс: Многие разработчики хранят «горячие» кошельки с реальными средствами на своих рабочих машинах для тестирования смарт-контрактов. Стилеры знают об этой привычке и в первую очередь ищут файлы, специфичные для популярных нод и библиотек (например, ethers.js или web3.js), пытаясь извлечь загруженные в память приватные ключи.
Инцидент, описанный SlowMist, — это не изолированная аномалия, а часть глобального тренда. В 2026 году атаки на реестры пакетов (npm, PyPI, Cargo) стали основным вектором для кражи средств и внедрения бэкдоров.
Объединяет все эти атаки одно: хакеры больше не штурмуют периметр безопасности. Они отравляют саму воду, которую пьют разработчики. Если один популярный пакет скомпрометирован, тысячи проектов автоматически получают вредоносный код при следующем обновлении зависимостей.
Поскольку реестр npm открыт и не проходит жесткую модерацию, ответственность за безопасность ложится на плечи самих команд и отдельных разработчиков. Слепое доверие к npm install в 2026 году равносильно запуску исполняемого файла из спам-письма.
package-lock.json или yarn.lock и проверяйте их хеши. Это гарантирует, что вы скачиваете именно те версии пакетов, которые были проверены ранее.Socket, Snyk или npm audit в CI/CD пайплайны. Они анализируют поведение пакетов и предупреждают о подозрительных скриптах postinstall.npm install для незнакомых репозиториев на основной машине. Используйте Docker-контейнеры или виртуальные машины, которые не имеют доступа к вашим основным кошелькам и SSH-ключам.⚠️ Важно: Если вы обнаружили, что установили пакет из списка компрометированных SlowMist, немедленно отзовите все сессии кошелька (через Revoke.cash), перенесите средства на новый адрес и проведите полную антивирусную проверку системы.
В 1950-х годах советская разведка провела блестящую операцию, известную как «Линия X». Агенту не нужно было проникать в посольство США в Москве, чтобы красть секреты. Вместо этого КГБ модифицировал электрические пишющие машинки IBM, которые по легитимной цепочке поставок отправлялись в посольство. В каждую машинку встраивался микроскопический жучок, фиксировавший удары по клавишам и передававший данные по скрытому каналу.
Атака на npm-пакеты — это цифровая «Линия X». Хакеры не взламывают ваш компьютер и не пытаются обойти фаервол. Они модифицируют «пишущую машинку» — библиотеку кода, которую вы добровольно скачиваете и интегрируете в свой проект. Вы сами, запуская npm install, импортируете вредоносный код в свою доверенную среду. И так же, как дипломаты десятилетиями печатали секретные документы на зараженных машинках, современные разработчики ежедневно запускают чужой код, не подозревая, что он уже передает их приватные ключи злоумышленникам.
postinstall и других хуков в package.json перед запуском?Open-source — это фундамент современной криптоиндустрии. Но этот фундамент построен на доверии, которое хакеры научились цинично эксплуатировать. Атака, выявленная SlowMist, — это очередное напоминание о том, что в мире, где код является законом, проверка каждой строки этого закона становится вопросом финансового выживания. Безопасность начинается не с криптографии смарт-контракта, а с того, какие пакеты вы устанавливаете на свою машину.
«Цепочка поставок настолько прочна, насколько прочно её самое слабое звено. В мире open-source мы часто забываем, что скачивая чужой код, мы скачиваем и чужие риски», — Кевин Митник, легендарный хакер и эксперт по безопасности.
