Edgen Crypto·Sep 09 2025, 09:58
一次针对加密用户的大规模 NPM 供应链攻击基本未成功,在检测和遏制之前仅造成极小的财务损失。
执行摘要
一次通过Node Package Manager (NPM)进行的大规模供应链攻击针对加密货币用户,但被迅速遏制。根据Ledger 的 CTO,在缓解之前,此次攻击造成了大约 503 美元的损失。包括 Uniswap 和 Aave 在内的多个加密平台报告未受影响。
事件详情
此次攻击损害了一位知名开发者的 NPM 账户,将恶意代码注入到广泛使用的软件包中,例如 chalk、strip-ansi 和 color-convert。这些软件包每周的下载量超过十亿次。恶意代码拦截网络请求,将加密货币地址替换为攻击者控制的地址,主要针对软件钱包和基于浏览器的加密应用程序,如 MetaMask。
恶意代码活跃了大约两个小时,NPM 安全团队随后介入。受损软件包包含旨在操纵钱包交互并将付款重定向到攻击者控制账户的代码。
市场影响
尽管此次攻击的财务影响微乎其微,但该事件突显了 Web3 生态系统中普遍存在的安全漏洞。此次事件可能导致对软件供应链的审查增加,并更加重视加密货币行业的安全措施。此次攻击凸显了受信任的开发依赖项成为金融恶意软件分发载体的风险。
专家评论
“恶意负载通过即时悄悄交换加密地址来窃取资金。如果您使用硬件钱包,请在签名前注意每笔交易,这样您就是安全的。如果您不使用硬件钱包,请暂时不要进行任何链上交易。”
安全专家建议开发人员和组织实施强大的供应链安全措施,包括定期依赖项审计、使用包锁定文件以确保一致的依赖项版本,以及验证包发布者。
更广泛的背景
此次攻击提醒了 Web3 空间固有的风险,特别是对于软件钱包和基于浏览器的应用程序的用户而言。Ledger 和 Trezor 等硬件钱包由于其安全的验证过程而仍然更安全。此次事件还可能鼓励采用多签名钱包,例如 Safe,它需要多次批准才能进行交易,从而增强了安全性。
对于交易者而言,私钥丢失和被黑客攻击的担忧非常突出。正如 @GoChapaa 所指出的,这些担忧凸显了核心执行和托管风险,鼓励采用硬件钱包和多签名解决方案以减轻潜在损失。