NPM 供应链攻击：加密货币交易所用户的惊险一刻？

全球最大的加密货币交易所之一周二向客户保证，在被称为有史以来对JavaScript生态系统影响最大的供应链攻击中，没有用户数据或资产受到损害。

根据他们在X上的声明，该交易所确认他们在针对广泛使用的Node.js包的安全漏洞中安然无恙，这些包涉及每周超过20亿次的应用下载。

“我们注意到最近的供应链攻击，该攻击发布了几个广泛使用的 JavaScript 包的恶意版本，” 公司声明。“经过调查，我们确认我们没有受到影响，客户数据或资产没有风险。”

该交易所的联合创始人在社交媒体上评论道：“即使是开源软件在如今也不安全。Web3将重新定义Web2的安全性。我们仍然处于早期阶段。” 这句话听起来有些自我服务——将Web3定位为解决方案，而他自己的平台则在很大程度上依赖于传统的网络基础设施。

攻击机制

此次攻击发生在9月8日，黑客通过复杂的网络钓鱼手段入侵了受信任的开源维护者"qix" (Josh Junon) 的账户。攻击者发送了一封伪装成npmjs官方通讯的电子邮件，警告Junon如果不立即更新他的双重认证凭证，他的账户将被锁定。

Junon承认在另一个维护者发现他的NPM账户 “发布带有后门的包” 后成为该计划的受害者。这使得攻击者能够劫持他的账户，并向18个流行的Node.js库推送恶意更新，包括chalk、debug、ansi-styles和strip-ansi——这些组件在整个网络中嵌入。

加密目标恶意软件

Aikido Security的分析揭示，攻击者注入了作为浏览器拦截器的代码。这段恶意代码监控主要加密货币的钱包地址和交易，包括比特币、以太坊、Solana、Tron、莱特币和比特币现金。当检测到时，恶意软件悄无声息地将目标钱包地址替换为攻击者控制的地址。

硬件钱包制造商Ledger的首席技术官指出，恶意代码已传播到超过十亿次下载的包中 - 这个惊人的覆盖范围可能会对全球的加密用户造成毁灭性影响。

令人惊讶的是，区块链分析公司Arkham Intelligence报告称，截至周一，只有$159 的加密货币被盗。然而，研究人员警告称，这一低数字并不代表有限的潜在损害，因为与被泄露的包相关的下载量已达到数十亿。

尽管这个特定的交易所声称已经逃过一劫，但这一事件突显了加密货币生态系统安全基础设施的脆弱性。用户应该质疑交易所是否对其面临如此广泛的漏洞保持完全透明，特别是在数十亿美元的资产处于风险之中时。