NPM供應鏈攻擊：主要交易所躲過一劫，但加密貨幣用戶仍然面臨風險

全球最大的加密貨幣交易所通過交易量在周二向其客戶保證，在被稱爲對JavaScript生態系統影響最重大的供應鏈攻擊之一期間，他們的數據和資產仍然安全。

根據社交媒體上的一份聲明，該交易所確認在針對廣泛使用的 Node.js 包的攻擊中，其數據庫未受到任何損害，這些包涉及每週超過 20 億次的應用下載。

“我們意識到最近發生的供應鏈攻擊，發布了多個廣泛使用的JavaScript包的惡意版本，” 公司寫道。“經過調查，我們確認我們沒有受到影響，客戶數據或資產沒有風險。安全仍然是我們的首要任務，這次事件提醒我們供應鏈安全是多麼重要。保持 SAFU。”

加密領域的一位知名人士在社交平台上評論道：“即使是開源軟件，現在也不安全。Web3 將重新定義 Web2 的安全性。我們仍然處於早期階段。”

JavaScript包攻擊讓加密社區感到不安

安全研究人員描述的這次攻擊是 NPM 歷史上最大的一次，發生在 9 月 8 日。黑客通過一封僞裝成官方 npmjs 通信的復雜釣魚郵件，攻陷了受信任的開源維護者 “qix” (Josh Junon) 的帳戶。

我覺得攻擊者通過一個虛假的警告輕易地操縱了Junon，這個警告稱他的帳戶將在2025年9月10日鎖定，除非他立即更新他的雙重身分驗證憑據，這讓我感到不安。

"作爲我們對帳戶安全持續承諾的一部分，我們要求所有用戶更新他們的雙重身分驗證(2FA)憑證。我們的記錄顯示，自您上次更新2FA以來已經超過12個月，"這封具有誤導性的電子郵件中提到。

Junon 後來在社交媒體上承認，他在另一位維護者透露他的 NPM 帳戶 “發布了帶後門的包” 後，成爲了釣魚計劃的受害者，這使得攻擊者能夠劫持他的帳戶並向包括 chalk、debug、ansi-styles 和 strip-ansi 在內的 18 個流行的 Node.js 庫推送惡意更新。

特別針對的加密交易

Aikido Security的分析顯示，攻擊者在被攻陷的包中注入了使瀏覽器能夠進行攔截的代碼。惡意代碼隱藏在index.js文件中，可以悄無聲息地監控使用受影響包的任何應用程序的網路流量和應用程序API。

該腳本專門監控涉及比特幣、以太坊、索拉納、波場、萊特幣和比特幣現金的錢包地址和交易。當檢測到時，它會悄悄地將目標錢包地址替換爲攻擊者控制的錢包地址，在受害者不知情的情況下重定向資金。

一位硬體錢包制造商的首席技術官報告稱，惡意代碼已傳播到超過十億次下載的程序包中。

區塊鏈分析公司Arkham Intelligence在周一晚間報告稱，目前僅有$159 價值的加密貨幣被盜，並且已追蹤到安全研究人員識別的地址。

然而，我擔心這個看似較低的數字掩蓋了真正的潛在損害，考慮到與被攻破的包相關的數十億次下載。最初的緩慢盜竊可能僅僅代表了一個更大風暴到來之前的平靜。