NPM 供應鏈攻擊：加密貨幣交易所用戶的驚險一刻？

全球最大的加密貨幣交易所之一周二向客戶保證，在被稱爲有史以來對JavaScript生態系統影響最大的供應鏈攻擊中，沒有用戶數據或資產受到損害。

根據他們在X上的聲明，該交易所確認他們在針對廣泛使用的Node.js包的安全漏洞中安然無恙，這些包涉及每週超過20億次的應用下載。

“我們注意到最近的供應鏈攻擊，該攻擊發布了幾個廣泛使用的 JavaScript 包的惡意版本，” 公司聲明。“經過調查，我們確認我們沒有受到影響，客戶數據或資產沒有風險。”

該交易所的聯合創始人在社交媒體上評論道：“即使是開源軟件在如今也不安全。Web3將重新定義Web2的安全性。我們仍然處於早期階段。” 這句話聽起來有些自我服務——將Web3定位爲解決方案，而他自己的平台則在很大程度上依賴於傳統的網路基礎設施。

攻擊機制

此次攻擊發生在9月8日，黑客通過復雜的網絡釣魚手段入侵了受信任的開源維護者"qix" (Josh Junon) 的帳戶。攻擊者發送了一封僞裝成npmjs官方通訊的電子郵件，警告Junon如果不立即更新他的雙重認證憑證，他的帳戶將被鎖定。

Junon承認在另一個維護者發現他的NPM帳戶 “發布帶有後門的包” 後成爲該計劃的受害者。這使得攻擊者能夠劫持他的帳戶，並向18個流行的Node.js庫推送惡意更新，包括chalk、debug、ansi-styles和strip-ansi——這些組件在整個網路中嵌入。

加密目標惡意軟件

Aikido Security的分析揭示，攻擊者注入了作爲瀏覽器攔截器的代碼。這段惡意代碼監控主要加密貨幣的錢包地址和交易，包括比特幣、以太坊、Solana、Tron、萊特幣和比特幣現金。當檢測到時，惡意軟件悄無聲息地將目標錢包地址替換爲攻擊者控制的地址。

硬體錢包制造商Ledger的首席技術官指出，惡意代碼已傳播到超過十億次下載的包中 - 這個驚人的覆蓋範圍可能會對全球的加密用戶造成毀滅性影響。

令人驚訝的是，區塊鏈分析公司Arkham Intelligence報告稱，截至周一，只有$159 的加密貨幣被盜。然而，研究人員警告稱，這一低數字並不代表有限的潛在損害，因爲與被泄露的包相關的下載量已達到數十億。

盡管這個特定的交易所聲稱已經逃過一劫，但這一事件突顯了加密貨幣生態系統安全基礎設施的脆弱性。用戶應該質疑交易所是否對其面臨如此廣泛的漏洞保持完全透明，特別是在數十億美元的資產處於風險之中時。