Друга хвиля атак на реєстр npm загрожує тисячам проектів

Sha1-Hulud - це черв'як, що самовідтворюється, для npm, який використовує скрипт preinstall (setup_bun.js) для прихованої установки і запуску шкідливого файлу bun_environment.js. Таким чином, зараження поширюється автоматично під час встановлення пакетів. Для пошуку та крадіжки даних зловмисники застосовують TruffleHog. На відміну від першої хвилі, нові атаки більш агресивні і здатні видаляти дані користувача, якщо не вдається вкрасти облікові дані або токени, відзначають фахівці Koi Security.

"Якщо Sha1-Hulud не вдається викрасти дані, він знищує їх, що робить другу хвилю атак більш руйнівною порівняно з першою, орієнтованою лише на крадіжку інформації", - пояснили дослідники.

Атака активно велася з 21 по 23 листопада 2025 року і наразі не завершена. Серед скомпрометованих пакетів щонайменше 10 активно використовуються у криптосфері, включаючи ensjs, ens-validation, ethereum-ens та ens-contracts, які пов'язані з Ethereum Name Service та мають тисячі щотижневих завантажень. Також постраждав пакет crypto-addr-codec.

Раніше вже фіксувалися схожі інциденти: зловмисники зламали обліковий запис розробника qix в npm, що дозволило їм скомпрометувати кілька популярних бібліотек, проте збитки тоді становили лише $50.

Фахівці наголошують, що ця кампанія демонструє еволюцію тактики хакерів — від простого розкрадання даних до прямого саботажу та знищення інформації. Користувачам npm рекомендується ретельно перевіряти джерела пакетів та використовувати засоби контролю цілісності коду, щоб мінімізувати ризик зараження.