自选
我的自选
查看全部
市值 价格 24h%
SVG Image
  • 全部
  • 产业
  • Web 3.0
  • DAO
  • DeFi
  • 符文
  • 空投再质押
  • 以太坊
  • Meme
  • 比特币L2
  • 以太坊L2
  • 研报
  • 头条
  • 投资
20.00% 80.00%
利好
利空

热门币种

更多

免责声明:内容不构成买卖依据,投资有风险,入市需谨慎!

NPM漏洞威胁10亿加密钱包安全 Ledger首席技术官紧急呼吁暂停交易

2025-09-09 17:46:37
收藏

NPM供应链攻击事件引发加密社区紧急预警

近日爆发的NPM(Node包管理器)供应链攻击事件,促使Ledger首席技术官Charles Guillemet呼吁加密货币用户暂停链上交易。Guillemet在社交平台X上发文警示:"当前正发生大规模供应链攻击,某知名开发者的NPM账户已遭入侵。受影响软件包下载量超10亿次,这意味着整个JavaScript生态系统可能面临风险。"


攻击影响范围

此次警告主要针对未使用硬件钱包的加密社区成员,但Guillemet同时提醒硬件钱包用户"在签署每笔交易前务必仔细核对"。据开发者GCr的0x_ultra披露:"Chalk及其关联项目(周下载量超20亿次)已被攻陷",攻击者正窃取用户私钥以控制加密钱包。

其他受影响的软件包包括strip-ansi和color-convert。这些工具包作为基础依赖组件,被深度嵌套在大量项目的依赖树中。


攻击机制解析

NPM作为Node.js的默认包管理器,是JavaScript生态中的核心工具。攻击者入侵知名开发者账户后,在热门库中植入恶意代码。该代码会在用户执行交易时篡改收款地址,目前受影响版本下载量已超10亿次。

被入侵的维护者证实,攻击者通过伪造"账户将于9月10日锁定"的钓鱼邮件,诱使其点击恶意链接获取了NPM账户权限。


史上最大供应链攻击?

据X用户Solid Intel称,此次事件可能成为"史上最大供应链攻击"。技术专家cygaar指出,恶意代码主要影响基于JavaScript开发的项目前端,而非底层智能合约地址。目前NPM已禁用受影响版本。


各大平台响应

主流钱包服务商纷纷发布安全声明:Ledger、MetaMask确认平台未受影响;Phantom Wallet表示未使用漏洞版本;UniSwap声明其应用均无风险。Blockstream Jade、Revoke.cash等平台也确认免疫此次攻击。


当前损失统计

攻击初期损失仅0.05美元,但最新数据显示黑客钱包余额已达492.19美元(截至美东时间凌晨3:40)。该地址通过7种代币收款,包括Condola、ANDY等代币及两个NFT资产。


区块链分析师指出,攻击的完整影响尚未完全显现。随着更多用户执行交易,损失金额可能持续上升。

展开阅读全文
更多新闻