资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
大规模供应链漏洞震惊开源社区
知名开发者的Node包管理器(NPM)账户遭黑客入侵,引发波及整个JavaScript生态系统的重大安全事件。该事件导致多个广泛使用的软件包被植入恶意代码,造成潜在供应链风险。
事件概述
黑客通过接管知名NPM开发者账户触发供应链攻击,使整个JavaScript社区面临安全威胁。受影响软件包累计下载量超10亿次,暴露出巨大安全隐患。Ledger首席技术官Charles Guillemet建议用户验证每笔交易,并使用配备安全显示屏的硬件钱包进行防护。
NPM漏洞引发钱包安全担忧
Ledger技术负责人Charles Guillemet披露了此次威胁的严重性。他表示被入侵的NPM账户影响力巨大,受污染软件包下载量已突破10亿次,这意味着整个JavaScript生态系统都可能暴露在风险中。恶意代码会实时篡改加密货币地址,将资金转移至攻击者账户。
Guillemet强调,硬件钱包用户只要在确认前仔细核查每笔交易就能保持安全。对于软件钱包用户,他建议在当前事态明朗前暂停链上交易。目前尚不确定攻击者是否试图直接窃取软件钱包的助记词。
开发者确认账户失陷
本次事件的核心维护者Josh Junon证实其NPM账户遭遇钓鱼攻击。攻击者伪造了形似npmjs官方的"support@npmjs.help"域名,向维护者发送威胁邮件,谎称账户将在2025年9月10日被锁定,诱导用户点击钓鱼链接。
其他开发者陆续报告遭遇相同攻击模式,证实此次钓鱼活动针对多个维护者。伪造邮件声称:"为保障账户安全,请尽快完成验证。未更新双重认证的账户将于2025年9月10日起被临时锁定。"
应对措施与技术分析
NPM团队发现入侵后立即下架攻击者上传的恶意版本,其中包括每周下载量约3.57亿次的debug软件包。安全公司Aikido的分析显示:
攻击者在劫持的软件包index.js文件中植入恶意代码,作为浏览器拦截器针对加密用户。该恶意程序通过挂钩fetch、XMLHttpRequest等函数及钱包API,监控并篡改涉及以太坊、比特币等主流链的交易地址。
为规避检测,该程序在存在钱包时保持静默运行,仅在后台实时修改交易细节,使界面显示正常而实际将资金转入攻击者地址。
强化安全防护建议
Guillemet向媒体警告,包含问题软件包的去中心化应用或软件钱包可能存在安全隐患。他强调最可靠的保护措施是使用支持清晰签名验证的硬件钱包,让用户能在设备屏幕上直接核对每笔交易的详细信息。
他补充道:"这次事件再次警示我们必须遵守基本安全准则:始终验证交易,切勿盲目签名。"同时建议用户优先选用配备安全显示屏的硬件钱包来确保资产安全。
