NPM供应链攻击刷屏:发生了什么?如何规避风险?
北京时间 9 月 9 日,Ledger 首席技术官 Charles Guillemet 于 X 发文预警表示:「目前正在发生一起大规模供应链攻击,一名知名开发者的 NPM 账号遭到入侵。受影响的软件包下载量已超过 10 亿次,这意味着整个 JavaScript 生态系统都可能面临风险。」
Guillemet 补充表示:「恶意代码的工作原理是在后台静默篡改加密货币地址,以此窃取资金。如果你使用硬件钱包,请仔细核对每一笔签名交易,你就是安全的。如果你没有使用硬件钱包,请暂时避免进行任何链上交易。目前尚不清楚攻击者是否已经在直接窃取软件钱包的助记词。」
发生了什么?
根据 Guillemet 所援引的安全报告内容,本次事件发生的直接原因在于:知名开发者 @qix 的 NPM 账户遭到入侵,导致数十个软件包被发布恶意版本,包括 chalk、strip-ansi 和 color-convert 等,恶意代码可能已经在开发者或用户自动安装依赖时扩散至终端。
Odaily 注:受损软件包的周下载量数据。
简而言之,这是一起经典的供应链攻击案例——即攻击者通过在开发工具或依赖系统中植入恶意代码(如 NPM 包)来进行作恶。所谓 NPM,全称为 Node Package Manager,它是 JavaScript/Node.js 生态里最常用的软件包管理工具,其主要作用包括管理依赖、安装和更新软件包、共享代码等等。
NPM 的生态规模极大,目前已有数百万个软件包,几乎所有 Web3 项目、加密钱包、前端工具都会依赖 NPM——也正是因为 NPM 依赖数量庞大且链路复杂,所以它是供应链攻击的高危入口,攻击者只要在一个常用软件包里植入恶意代码,就可能影响成千上万的应用和用户。
如上图的恶意代码扩散流程图所示:
· 某项目(蓝色框)会直接依赖一些常见的开源库,比如 express。
· 这些直接依赖(绿色框)又会依赖其他间接依赖(黄色框,如 lodash)。
· 如果某个间接依赖被攻击者偷偷植入了恶意代码(红色框),它会顺着依赖链条进入到该项目中。
这对加密货币意味着什么?
该起安全事件与加密货币行业的直接关系在于,黑客向上述受污染的软件包中植入的恶意代码是一个精密的「加密货币剪贴板劫持程序」,通过替换钱包地址和劫持交易来窃取加密资产。
Stress Capital 创始人 GE(@GuarEmperor)于 X 就此进行了更详细的解释,黑客所注入的"剪贴板劫持程序「采用了两种攻击模式——被动模式下使用「莱文斯坦距离算法(Levenshtein distance algorithm)」替换钱包地址,由于视觉上近似因此极难察觉;主动模式下则会在检测浏览器内的加密钱包,在用户签署交易前篡改目标地址。
由于本次攻击针对的是 JavaScript 项目基础层库,意味着即使间接依赖这些库的项目也可能受到影响。
黑客获利情况如何?
黑客所植入的恶意代码也披露了其攻击地址,黑客在以太坊上的主要攻击地址为 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976,资金上则主要来源于以下三个地址:
· 0xa29eEfB3f21Dc8FA8bce065Db4f4354AA683c0240
· x40C351B989113646bc4e9Dfe66AE66D24fE6Da7B
· 0x30F895a2C66030795131FB66CBaD6a1f91461731
Arkham 方面已就本次攻击事件制作了跟踪页面,在该页面可实时查询黑客攻击获利情况及转移情况。
截至发文,黑客攻击岁仅获利 496 美元,但考虑到目前尚未确定恶意代码的已扩散范围,预计该数据可能还会继续上升——开发者本人现已收到通知,正在与 NPM 安全团队积极合作解决问题,恶意代码目前已从大部分受影响的软件包中移除,所以情况正在得到控制。
该如何规避风险?
Defillama 创始人 @0xngmi 于 X 表示,本次事件虽然听起来很危险,但实际影响范围实际并没有那么夸张——因为本事件只会影响自被黑的 NPM 软件包发布以来推送过更新的网站,其他项目仍将使用旧版本;且大多数项目都会固定它们的依赖关系,所以即使它们推送更新,仍会继续使用旧的安全代码。
不过,由于用户侧无法真正知道某个项目是否固定了依赖项,或者它们是否有一些动态下载的依赖项,所以目前首先需要由项目方出面自检并进行披露。
截至发文,包括MetaMask、Phantom、Aave、Fluid、Jupiter 等多个钱包或应用端项目方均已披露自身不受本次事件影响,故理论上用户可放心使用已确认安全的钱包正常访问已确认安全的协议,但对于其他尚未进行安全披露的钱包或项目,暂时避免使用可能会是更安全的做法。
到此这篇关于NPM供应链攻击刷屏:发生了什么?如何规避风险?的文章就介绍到这了,更多相关NPM供应链攻击刷屏内容请搜索脚本之家以前的文章或继续浏览下面的相关文章,希望大家以后多多支持脚本之家!
你可能感兴趣的文章
-
NPM供应链攻击刷屏:发生了什么?如何规避风险?
目前正在发生一起大规模供应链攻击,一名知名开发者的 NPM 账号遭到入侵,恶意代码的工作原理是在后台静默篡改加密货币地址,以此窃取资金,如果你使用硬件钱包,请仔细核对…
2025-09-10 -
以太坊(ETH)二层网络Kinto在遭黑客攻击数月后宣布逐步关停,代币暴跌
Kinto关停致代币暴跌81%,以太坊二层扩容项目Kinto因技术迭代官宣终止运营,其原生代币KIN价格单日闪崩81%,市值蒸发超3000万美元,团队承诺将协助用户迁移资产至替代方案,…
2025-09-08 -
Solana生态遭连环攻击:黑客如何用闪电贷 “掏空” Jupiter?市场恐慌
8月24日清晨,Solana链上突然响起“警报”——生态核心DeFi项目Jupiter DEX遭黑客突袭,5000万美金(3000万SOL+2000万USDC)在15分钟内被洗劫一空,更详细关于闪电贷袭击Sol…
2025-08-24 -
2700万美元劫案:BigONE交易所成最新加密货币攻击受害者
BigONE加密货币交易所已确认其热钱包基础设施遭到第三方攻击,损失2700万美元,更多关于BigONE承诺承担所有损失的解决方案,受影响的代币包括120枚比特币(BTC)、350枚以太坊…
2025-07-16 -
Kinto币价暴跌90%:是遭遇漏洞攻击,还是蓄意砸盘
加密市场牛市行情悄然而至,然而项目协议代币突然短时间暴跌仍屡见不止,Kinto 项目的原生代币 K 突发剧烈崩盘,价格从约 8 美元暴跌至 0.7 美元左右,跌幅超过 90%,市值蒸…
2025-07-12 -
2025年新型攻击:超60%的Firefox加密钱包扩展程序存在仿冒风险
这一大规模网络钓鱼行动部署了伪装成Coinbase、MetaMask、Trust Wallet、Phantom、Exodus、OKX、MyMonero、Bitget等主流钱包工具的扩展程序,超过40款伪装成主流加密钱包的…
2025-07-03 -
PeckShield报告分析:加密犯罪五月造成2.44亿美元损失,但黑客攻击损失
根据PeckShield的数据,5月份共报告了20起重大加密货币黑客攻击事件,导致总损失达2.441亿美元, …
2025-06-03 -
以太坊Pectra升级遭恶意滥用!Wintermute:EIP-7702使大量合约部署自动
以太坊EIP-7702遭到恶意滥用,Wintermute揭露黑客借此自动清空客户钱包,让安全风险遽增,更多详细资讯请看下面正文…
2025-06-02 -
Cetus被盗2.3亿美元,解析攻击手法及资金转移情况
5 月 22 日,据社区消息,SUI 生态上的流动性提供商 Cetus 疑似遭攻击,流动性池深度大幅下降,Cetus 上多个代币交易对出现下跌,预计损失金额超过 2.3 亿美元…
2025-05-25 -
一文了解币安创始人赵长鹏强烈驳斥彭博报导:虚假攻击毫无证据
知名媒体《彭博》昨(24)日稍晚发布了一篇题为《Binance Billionaire Zhao Guides Regulators to Relax Crypto Rules》(币安亿万富翁赵长鹏引导监管机构放宽加密货币限制)的…
2025-04-25
