受損的 npm 包瞄準加密錢包，暴露 Web3 漏洞

對 Node.js 開發者的網路釣魚攻擊導致 npm 包中出現惡意代碼，目標是以太坊和 Solana 錢包，影響了超過 20 億次每週下載。

執行摘要

攻擊者透過網路釣魚攻擊，入侵了廣泛使用的 npm 包，注入了旨在竊取加密貨幣的惡意程式碼。此次攻擊於 2025 年 9 月 8 日被發現，透過攔截和重定向交易，目標是以太坊和 Solana 錢包。儘管攻擊者的直接經濟收益微乎其微，但此次事件暴露了軟體供應鏈中的關鍵漏洞，並引發了對 Web3 生態系統安全性的擔憂。

事件詳情

備受尊敬的開源開發者 Josh Junon（又名 qix）透過偽裝成 npmjs.help 的網路釣魚電子郵件遭到入侵。攻擊者獲得了 Junon 的 npm 帳戶控制權，並向 18 個包注入了惡意程式碼，其中包括 chalk、debug 和 ansi-styles 等流行庫，影響了超過 20 億次每週下載。惡意程式碼的目標是加密貨幣交易，特別是監控網路流量中的 Ethereum、Solana、Bitcoin、Tron、Litecoin 和 Bitcoin Cash 錢包地址。該程式碼會重寫交易目標，用攻擊者控制的地址替換合法地址，並修改未簽名的交易，在使用者簽名之前修改收款人地址和金額。

市場影響

此次攻擊凸顯了 Web3 生態系統在供應鏈妥協方面的脆弱性。儘管 幣安 表示沒有使用者資料或資產受到損害，但此次事件引發了對開源軟體安全性和針對加密貨幣使用者的大規模攻擊潛力的更廣泛擔憂。此次事件可能導致對軟體依賴性進行更嚴格的審查，並推動在 Node.js 生態系統內實施更嚴格的安全措施。安全團隊面臨更新系統的巨大成本。

專家評論

「如今，即使是開源軟體也不再安全。Web3 將重新定義 Web2 的安全性，」 幣安 共同創辦人 趙長鵬（CZ） 在社交平台 X 上表示。

硬體錢包製造商 Ledger 的首席技術長 Charles Guillemet 指出，惡意程式碼已傳播到下載量超過 10 億的軟體包中。

更廣闊的背景

此次攻擊強調了軟體供應鏈中強大安全措施的重要性。緩解類似攻擊的建議包括：定期審計 npm 依賴項，使用 package-lock.json 確保依賴項版本一致，驗證包發布者，並監控意外的包更新。此次事件反映了網路犯罪分子透過複雜的網路釣魚活動和供應鏈攻擊來瞄準加密貨幣基礎設施的日益增長趨勢。正如安全研究人員指出的那樣，2025 年幾乎所有主要攻擊都針對加密貨幣基礎設施，網路釣魚活動被證明比零日漏洞更有效。