Вторая волна атак на реестр npm угрожает тысячам проектов

Sha1-Hulud — это самовоспроизводящийся червь для npm, который использует скрипт preinstall (setup_bun.js) для скрытой установки и запуска вредоносного файла bun_environment.js. Таким образом, заражение распространяется автоматически при установке пакетов. Для поиска и кражи данных злоумышленники применяют TruffleHog. В отличие от первой волны, новые атаки более агрессивны и способны удалять пользовательские данные, если не удаётся украсть учетные данные или токены, отмечают специалисты Koi Security.

«Если Sha1-Hulud не удаётся похитить данные, он уничтожает их, что делает вторую волну атак более разрушительной по сравнению с первой, ориентированной лишь на кражу информации», — пояснили исследователи.

Атака активно велась с 21 по 23 ноября 2025 года и пока не завершена. Среди скомпрометированных пакетов как минимум 10 активно используются в криптосфере, включая ensjs, ens-validation, ethereum-ens и ens-contracts, которые связаны с Ethereum Name Service и имеют тысячи еженедельных загрузок. Также пострадал пакет crypto-addr-codec.

Ранее уже фиксировались похожие инциденты: злоумышленники взломали аккаунт разработчика qix в npm, что позволило им скомпрометировать несколько популярных библиотек, однако ущерб тогда составил всего $50.

Специалисты подчеркивают, что данная кампания демонстрирует эволюцию тактики хакеров — от простого хищения данных к прямому саботажу и уничтожению информации. Пользователям npm рекомендуется тщательно проверять источники пакетов и использовать средства контроля целостности кода, чтобы минимизировать риск заражения.