以太坊和索拉納錢包遭遇重大攻擊，僅損失5分錢

以太坊和索拉納錢包遭遇大規模「npm」攻擊，但僅損失5美分
================================================================================

這次攻擊的憑證竊取者收集了用戶名、密碼和雙因素認證碼，然後將這些資料發送到遠端主機。攻擊者在獲得完全訪問權後，重新發布了每個「qix」包，並植入了針對加密貨幣的惡意代碼。
——————————————————————————————————————————————————————————————————

更新日期：2025年9月9日下午2:08 發布日期：2025年9月9日下午1:00

重要資訊：

* 一次網絡釣魚攻擊使一名主要的Node.js開發者受到影響，導致惡意代碼被插入廣泛使用的套件中。
* 雖然攻擊者獲得的金錢利益微薄，但安全團隊面臨著更新系統的高昂成本。
* 此次攻擊利用npm套件來重定向以太坊和索拉納的交易，然而財務影響卻微乎其微。

上週一，一封網絡釣魚郵件攻擊了Node.js最活躍的開發者之一，將惡意代碼推送到每週下載數十億次的套件中。研究人員稱這是近期最大規模的軟件供應鏈攻擊。

根據安全聯盟在週二的報告，儘管攻擊範圍巨大，但攻擊者僅獲得了幾美分的收益。然而，安全團隊現在面臨著大量的成本，必須更新後端系統以防止進一步的攻擊。

這位名為「qix」的流行維護者，其作品（如chalk和debug-js）每週被下載數十億次，上週因收到一封來自support@npmjs.help的郵件而遭到攻擊。該域名曾指向一個俄羅斯伺服器，並重定向到一個偽造的雙因素認證頁面，該頁面托管於內容傳遞網絡BunnyCDN上。

憑證竊取者收集了用戶名、密碼和雙因素認證碼，然後將這些資料發送到遠端主機。在獲得完全訪問權後，攻擊者重新發布了每個qix包，並植入了針對加密貨幣的惡意代碼。

Node Package Manager（簡稱npm）就像開發者的應用商店，開發者可以在這裡下載代碼的組件（稱為套件），而不是從頭開始編寫所有內容。維護者是創建和更新這些套件的人或實體。

攻擊是如何發生的
———————–

植入的代碼相對簡單。它檢查是否存在window.ethereum，如果存在，則鉤入以太坊的核心交易功能。對approve、permit、transfer或transferFrom的調用會被靜默重定向到一個特定的錢包地址「0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976」。

任何無數據的以太坊交易都會被重定向。對於索拉納，惡意代碼將接收者覆蓋為一個以「1911…」開頭的無效字符串，直接破壞轉賬。

網絡請求也被攔截。

通過劫持fetch和XMLHttpRequest，惡意代碼掃描JSON響應中的子字符串，並將其替換為280個硬編碼的替代品，以看起來相似。

攻擊的影響
——————–

然而，儘管影響範圍廣泛，但實際影響卻微乎其微。

鏈上數據顯示，攻擊者僅獲得了約5美分的以太幣和約20美元的流動性極低的迷因幣，而該迷因幣的交易量不到600美元，根據安全聯盟的報告。

流行的瀏覽器錢包MetaMask也表示，該攻擊並未影響其系統，因為該錢包鎖定其代碼版本，並使用手動和自動檢查，分階段釋出更新。它還使用「LavaMoat」來阻止惡意代碼，即使被插入也無法執行，並且使用「Blockaid」快速標記受損的錢包地址，以防止此類攻擊。

同時，Ledger的首席技術官Charles Guillemet警告稱，惡意代碼已被推送到下載超過十億次的套件中，旨在靜默替換交易中的錢包地址。

此次攻擊緊隨上週ReversingLabs所標記的另一個案例，該案例中npm套件使用以太坊智能合約來隱藏惡意代碼鏈接——這種技術使得指揮和控制流量被偽裝成普通的區塊鏈調用。

—

這次攻擊突顯了當前開發環境中供應鏈安全的脆弱性。儘管攻擊者的收益微乎其微，但對於開發者和用戶來說，這樣的事件卻帶來了巨大的心理壓力和資源浪費。開發者需要更加重視安全措施，並加強對第三方套件的審查與監控，以減少未來類似事件的發生。

以上文章由特價GPT API KEY所翻譯及撰寫。而圖片則由FLUX根據內容自動生成。