NPM供应链攻击：主要交易所躲过一劫，但加密货币用户仍然面临风险

全球最大的加密货币交易所通过交易量在周二向其客户保证，在被称为对JavaScript生态系统影响最重大的供应链攻击之一期间，他们的数据和资产仍然安全。

根据社交媒体上的一份声明，该交易所确认在针对广泛使用的 Node.js 包的攻击中，其数据库未受到任何损害，这些包涉及每周超过 20 亿次的应用下载。

“我们意识到最近发生的供应链攻击，发布了多个广泛使用的JavaScript包的恶意版本，” 公司写道。“经过调查，我们确认我们没有受到影响，客户数据或资产没有风险。安全仍然是我们的首要任务，这次事件提醒我们供应链安全是多么重要。保持 SAFU。”

加密领域的一位知名人士在社交平台上评论道：“即使是开源软件，现在也不安全。Web3 将重新定义 Web2 的安全性。我们仍然处于早期阶段。”

JavaScript包攻击让加密社区感到不安

安全研究人员描述的这次攻击是 NPM 历史上最大的一次，发生在 9 月 8 日。黑客通过一封伪装成官方 npmjs 通信的复杂钓鱼邮件，攻陷了受信任的开源维护者 “qix” (Josh Junon) 的账户。

我觉得攻击者通过一个虚假的警告轻易地操纵了Junon，这个警告称他的账户将在2025年9月10日锁定，除非他立即更新他的双重身份验证凭据，这让我感到不安。

"作为我们对账户安全持续承诺的一部分，我们要求所有用户更新他们的双重身份验证(2FA)凭证。我们的记录显示，自您上次更新2FA以来已经超过12个月，"这封具有误导性的电子邮件中提到。

Junon 后来在社交媒体上承认，他在另一位维护者透露他的 NPM 账户 “发布了带后门的包” 后，成为了钓鱼计划的受害者，这使得攻击者能够劫持他的账户并向包括 chalk、debug、ansi-styles 和 strip-ansi 在内的 18 个流行的 Node.js 库推送恶意更新。

特别针对的加密交易

Aikido Security的分析显示，攻击者在被攻陷的包中注入了使浏览器能够进行拦截的代码。恶意代码隐藏在index.js文件中，可以悄无声息地监控使用受影响包的任何应用程序的网络流量和应用程序API。

该脚本专门监控涉及比特币、以太坊、索拉纳、波场、莱特币和比特币现金的钱包地址和交易。当检测到时，它会悄悄地将目标钱包地址替换为攻击者控制的钱包地址，在受害者不知情的情况下重定向资金。

一位硬件钱包制造商的首席技术官报告称，恶意代码已传播到超过十亿次下载的程序包中。

区块链分析公司Arkham Intelligence在周一晚间报告称，目前仅有$159 价值的加密货币被盗，并且已追踪到安全研究人员识别的地址。

然而，我担心这个看似较低的数字掩盖了真正的潜在损害，考虑到与被攻破的包相关的数十亿次下载。最初的缓慢盗窃可能仅仅代表了一个更大风暴到来之前的平静。