自选
我的自选
查看全部
市值 价格 24h%
SVG Image
  • 全部
  • 产业
  • Web 3.0
  • DAO
  • DeFi
  • 符文
  • 空投再质押
  • 以太坊
  • Meme
  • 比特币L2
  • 以太坊L2
  • 研报
  • 头条
  • 投资
30.00% 70.00%
利好
利空

热门币种

更多

免责声明:内容不构成买卖依据,投资有风险,入市需谨慎!

加密货币因NPM供应链攻击面临风险

2025-09-09 20:49:47
收藏

知名开发者NPM账户遭劫持,供应链攻击危及加密货币安全

知名开发者"qix"的NPM账户遭到入侵,导致数十个广泛使用的JavaScript软件包被植入恶意版本。这些软件包累计下载量已超10亿次,整个JavaScript生态系统可能面临安全风险。

攻击手法解析

此次供应链攻击针对开发者依赖的工具链而非终端用户。攻击者通过获取qix账户权限发布篡改版本,使用自动更新依赖的开发者可能在不知情中引入恶意代码。

恶意负载会静默替换加密货币交易中的钱包地址,实现资金劫持。当开发者发起合法转账时,资金可能被重定向至攻击者控制的地址。硬件钱包用户只要在签名前仔细核对交易信息仍相对安全,但软件钱包用户建议暂停链上交易。

历史重演的行业危机

这并非加密货币与JavaScript生态首次遭遇此类威胁。2021年UAParser.js库就发生过类似事件,引发对依赖项传播恶意代码的广泛担忧。根据公开数据,JavaScript仍是使用最广泛的编程生态,每周下载量达数十亿次,知名软件包被黑可能造成级联影响。

攻击虽被遏制,风险持续存在

安全研究员证实,此次攻击因攻击者操作失误导致CI/CD管道崩溃而被早期发现,最终未造成实际损失。攻击始于仿冒NPM支持域名的钓鱼邮件,窃取凭证后发布恶意更新。注入代码针对以太坊、Solana等多链的Web加密活动,通过篡改网络响应中的钱包地址劫持交易。

专家强调软件钱包和交易所资金仍存在风险,硬件钱包通过"清晰签名"和"交易校验"功能可提供保护。尽管即时威胁解除,但该事件再次证明供应链漏洞是高效的恶意软件传播载体。

主流平台安全声明

包括Ledger、Trezor在内的硬件钱包厂商确认其设备安全性未受影响;MetaMask、Trust Wallet等软件钱包表示未遭渗透;Uniswap等DeFi平台声明其智能合约未受波及。这些声明表明尽管攻击范围广泛,主流加密服务仍保持安全。

安全防护建议

开发者应立即审计项目依赖,在package.json中锁定受影响软件包的安全版本。加密货币用户建议通过硬件钱包确认交易细节,软件钱包暂缓操作。保持关注NPM安全公告和开发者社区动态,企业级区块链应用应考虑部署自动化依赖扫描工具。

展开阅读全文
更多新闻