loading...
币圈网报道: 9月8日,查尔斯·吉耶梅首席技术官账本警告称,一场活跃的供应链攻击可能会影响整个 JavaScript 生态系统。他在 X 上的一篇帖子中透露,一位信誉良好的开发者的 Node 包管理器 (NPM) 帐户已被盗用。攻击者将恶意代码推送到下载量超过 10 亿次的软件包中,这引发了整个加密社区的警惕。
[https://x.com/P3b7_/status/1965094840959410230]
注入的代码旨在在交易过程中悄悄交换加密钱包地址。实际上,这意味着毫无戒心的用户可以在不知情的情况下直接向攻击者的地址发送资金。
Guillemet 强调,只要用户在签名前验证每笔交易,硬件钱包仍然是安全的。他建议所有其他用户暂停链上活动,直到情况明朗为止。
这一消息立即引发了加密货币领域的担忧,因为该领域许多去中心化应用程序都依赖于开源 JavaScript 包。一旦依赖关系受损,以太坊、Solana 和其他区块链上的用户就可能面临风险。
多个项目,包括腌料, 索尔弗拉雷, 步进金融, 木星, 漂移, 和 幻影等公司迅速发表声明,确认其系统未受到影响。
尽管有这些保证,但潜在风险的规模仍然巨大。NPM 软件包支撑着许多广泛使用的应用程序,这种性质的漏洞凸显了软件开发中供应链安全的脆弱性。
在 9 月 9 日的后续文章中,Guillemet 提供了更多细节。攻击者通过冒充 NPM 支持的网络钓鱼电子邮件活动获得了访问权限。他们使用虚假域名窃取了开发人员凭证,并向广泛使用的软件包发布了恶意更新。注入的代码试图拦截基于 Web 的加密活动,挂载到网络响应中并替换钱包地址。
然而,实施错误削弱了攻击的有效性。恶意代码导致持续集成和部署管道崩溃,比攻击者预期的更早地向开发人员和安全团队发出警报。这种中断限制了攻击范围,并减少了成功窃取数据的数量。
区块链分析表明,攻击者窃取的金额极少。研究员@4484他将与阿卡姆事件相关的钱包归类为“NPM 攻击”,结果发现被盗资金仅 503.59 美元。几个小时前,被盗金额为 66 美元,这表明总额可能有所增加,但与此次入侵的潜在规模相比,仍然微不足道。
匿名创始人德菲拉玛, 0xngmi解释了为什么影响有限。恶意代码可以利用被攻陷的依赖项(例如替换目标地址)来修改网站上的交易。然而,用户仍然需要在钱包中手动批准这些被修改的交易,从而防止资金自动流失。
[https://x.com/0xngmi/status/1965125988016087050]
安全联盟安全组织将这一结果描述为“幸运的”,并指出,如果攻击者更有效地执行有效载荷,潜在的损害可能是巨大的。
[https://x.com/_SEAL_Org/status/1965146374582010034]
9 月份发生的 NPM 供应链攻击事件既是一次警示,也是一次提醒。实际损失虽小,但潜在风险却十分巨大。受影响软件包的下载量超过 10 亿次,这证明了一个账户被盗会给整个生态系统带来怎样的连锁反应。
加密货币用户和开发者面临着不断演变的威胁形势。虽然硬件钱包和交易验证仍然是可靠的防御措施,但攻击者仍将继续探查软件供应链中的弱点。最新一轮攻击事件可能以“没有受害者”,但下一次灾难的破坏力可能更大。
加密安全要点
[https://www.youtube.com/watch?v=jbwSHQUV21I]
875
775
112
806
659
325
942
980
146
