Червь npm крадет криптоключи, атакует 19 пакетов

Самовоспроизводящийся npm червь под названием SANDWORM_MODE поразил более 19 пакетов, собирая приватные ключи, BIP39 мнемоники, файлы кошельков и ключи LLM API из сред разработки.

Активная атака на цепочку поставок npm охватывает среды разработки прямо сейчас. Команда исследования угроз Socket обнаружила то, что отслеживается как SANDWORM_MODE, самовоспроизводящийся червь, распространившийся как минимум по 19 вредоносным npm пакетам, связанным с двумя псевдонимами издателей. Как отметил SocketSecurity в X, это активная атака на цепочку поставок, крадущая секреты разработки и CI, внедряющая рабочие процессы GitHub, отравляющая инструментарии ИИ и собирающая ключи LLM API.

Кампания напрямую заимствует из семейства червей Shai-Hulud. Приватные ключи уходят первыми. Никаких временных задержек, никаких промедлений. Криптовалютные артефакты, обнаруженные при импорте, немедленно передаются через выделенную конечную точку дренажа до того, как запускается любой другой этап полезной нагрузки.

Вам следует знать: угрозы безопасности кошельков усиливаются Обязательно прочтите: Взлом безопасности Trust Wallet: как защитить свои активы

Как этот червь сначала добирается до ваших приватных ключей

Червь работает по двухэтапной схеме. Этап 1 запускается мгновенно при импорте, собирая npm токены, GitHub токены, секреты окружения и криптоключи только через чтение файлов. Никакого выполнения оболочки, никакого шума. BIP39 мнемоники, приватные ключи Ethereum, байтовые массивы Solana, ключи Bitcoin WIF и строки xprv собираются на первом проходе.

Криптоключи немедленно покидают машину через HTTPS POST на Cloudflare Worker по адресу pkg-metrics[.]official334[.]workers[.]dev/drain. Это происходит до любой проверки временного барьера. До того, как даже загружается Этап 2.

Этап 2 находится за 48-часовой задержкой, полученной из MD5 хеша имени хоста и имени пользователя. Он идет глубже: менеджеры паролей через Bitwarden, 1Password и LastPass CLI, локальные хранилища SQLite, включая Apple Notes и macOS Messages, и полное сканирование файловой системы на файлы кошельков. В CI средах этот барьер полностью исчезает. Полная полезная нагрузка запускается на GITHUB_ACTIONS, GITLAB_CI, CIRCLECI, JENKINS_URL и BUILDKITE без какого-либо ожидания.

Согласно SocketSecurity в X, червь также внедряет рабочие процессы GitHub и отравляет инструментарии ИИ, детали подтверждены в полном техническом раскрытии Socket.

Также стоит прочитать: 21 $ млн в изъятом Bitcoin возвращены после заморозки транзакций властями

Инструменты кодирования ИИ тоже сильно пострадали

Три пакета выдают себя за Claude Code. Один нацелен на OpenClaw, ИИ-агент, который получил 210 000 звезд на GitHub. Модуль McpInject червя развертывает поддельный MCP сервер в конфигурациях Claude Code, Claude Desktop, Cursor, VS Code Continue и Windsurf на диске. Каждый получает поддельную запись инструмента, указывающую на скрытый вредоносный сервер.

Этот сервер несет встроенную инъекцию промпта, указывающую ИИ-ассистентам тихо читать SSH ключи, AWS учетные данные, npm токены и секреты окружения перед каждым вызовом инструмента. Модель никогда не сообщает пользователю. Инъекция явно блокирует это.

Девять провайдеров LLM становятся целью для сбора ключей API: OpenAI, Anthropic, Google, Groq, Together, Fireworks, Replicate, Mistral и Cohere. Ключи извлекаются из переменных окружения и .env файлов, проверяются на соответствие известным паттернам форматов перед передачей.

Передача данных выполняется по трем каналам каскадом. Сначала HTTPS на Cloudflare Worker, затем аутентифицированные загрузки через GitHub API в приватные репозитории с использованием двойного кодирования base64, затем DNS туннелирование через base32-кодированные запросы к freefan[.]net и fanfree[.]net. Алгоритм генерации доменов с сидом "sw2025" обеспечивает резервные варианты по десяти TLD, если все остальное не работает.

Стоит взглянуть: Glassnode сигнализирует об истощении спроса на BTC

Два псевдонима издателей за кампанией - official334 и javaorg. 19 подтвержденных вредоносных пакетов включают suport-color@1.0.1, claud-code@0.2.1, cloude@0.3.0, crypto-locale@1.0.0, secp256@1.0.0 и scan-store@1.0.0 среди прочих. Четыре дополнительных спящих пакета (ethres, iru-caches, iruchache и uudi) пока не показывают вредоносной полезной нагрузки.

npm удалил вредоносные пакеты. GitHub ликвидировал инфраструктуру злоумышленника. Cloudflare отключил workers. Но защитникам нужно действовать сейчас, в любом случае.

Если какой-либо из этих пакетов запускался в вашей среде, считайте эту машину скомпрометированной. Ротируйте npm и GitHub токены, ротируйте все CI секреты, проверьте .github/workflows/ на добавления pull_request_target, которые сериализуют ${{ toJSON(secrets) }}. Проверьте глобальную настройку шаблона git hook, выполнив git config –global init.templateDir. Просмотрите конфигурации ИИ-ассистента на неожиданные записи mcpServers. Спящий полиморфный движок, использующий deepseek-coder:6.7b, встроен в червя и отключен в этой сборке, что означает, что будущий вариант может переписать себя для уклонения от обнаружения.

В коде также находится переключатель смерти. Сейчас отключен. При активации он запускает find ~ -type f -writable и уничтожает каждый записываемый файл в домашнем каталоге. Оператор все еще работает.

Пост npm червь крадет криптоключи, нацелен на 19 пакетов впервые появился на Live Bitcoin News.