Эксперты напомнили, что в список зараженных вредоносной программой попали четыре библиотеки JavaScript:
-
Chalk — около 300 млн загрузок в неделю;
-
Strip-ansi — 261 млн;
-
Color-convert — 193 млн;
-
Color-name — 191 млн.
Сейчас большинство зараженных версий библиотек удалено, но риск хищения криптовалют остается, поскольку вредоносная программа могла сохраниться в нескольких сборках, объяснили представители Security Alliance.
«Компрометация аккаунта разработчика, чьи пакеты загружаются миллиарды раз, может открыть доступ к миллионам рабочих станций. В этот раз хакеры заработали копейки, но последствия могли быть катастрофическими», — объявили специалисты по безопасности.
Они рекомендовали разработчикам провести масштабный аудит проектов и внимательно проверять все криптовалютные платежи и переводы между кошельками.
Ранее сотрудники специализирующейся на кибербезопасности компании PeckShield сообщили, что один из клиентов платформы Venus Protocol в результате фишинговой атаки потерял $13,5 млн в токенах vUSDT, vUSDC, обернутых XRP и ETH.
