🎬 YouTube Premium 家庭 Plan成員一位 只需
HK$148/年!
不用提供密碼、不用VPN、無需轉區
直接升級你的香港帳號 ➜ 即享 YouTube + YouTube Music 無廣告播放
加密貨幣用戶被警告:NPM攻擊影響核心JavaScript庫
近日,黑客入侵了廣泛使用的JavaScript軟件庫,這被稱為歷史上最大的供應鏈攻擊。據報導,這些注入的惡意軟件旨在通過更改錢包地址和攔截交易來竊取加密貨幣。
根據周一的幾份報導,黑客闖入了一位知名開發者的Node Package Manager(NPM)賬戶,並秘密地向數百萬應用程序使用的流行JavaScript庫中添加了惡意代碼。
這些惡意代碼可以更改或劫持加密錢包地址,可能使許多項目面臨風險。
“目前正在進行大規模的供應鏈攻擊:一位可信的開發者的NPM賬戶已被攻破,”Ledger的首席技術官Charles Guillemet周一警告道。“受影響的包已經被下載超過10億次,這意味著整個JavaScript生態系統可能都面臨風險。”
此次攻擊針對的包包括chalk、strip-ansi和color-convert等—這些小工具深埋於無數項目的依賴樹中。這些庫每週的下載量超過10億次,這意味著即使是從未直接安裝過這些包的開發者也可能受到影響。
NPM就像是開發者的應用商店—一個中央庫,開發者在此分享和下載小型代碼包以構建JavaScript項目。
攻擊者似乎植入了一種稱為“crypto-clipper”的惡意軟件,該軟件在交易過程中靜默地替換錢包地址,以轉移資金。
安全研究人員警告,依賴軟件錢包的用戶可能特別脆弱,而那些在硬件錢包上確認每筆交易的用戶則受到保護。
用戶被警告避免進行加密交易
根據DefiLlama創始人Oxngmi的X帖子,這些惡意代碼並不會自動抽走錢包中的資金—用戶仍需批准不良交易。
由於被黑的JavaScript包可以更改按鈕點擊時的行為,因此在受影響的網站上點擊“交換”按鈕可能會更改交易細節,將資金發送給黑客。
他補充說,只有在受損包發布後進行更新的項目才面臨風險,許多開發者會“固定”他們的依賴項,以便繼續使用舊的安全版本。
然而,由於用戶無法輕易判斷哪些網站已安全更新,因此最好在受影響的包被清理之前,避免使用加密網站。
網絡釣魚郵件使攻擊者獲得NPM維護者賬戶的訪問權限
攻擊者發送了假冒的官方NPM支持郵件,警告維護者如果不在9月10日之前“更新”雙重身份驗證,他們的賬戶將被鎖定。
這個假網站捕獲了登錄憑證,使黑客控制了維護者的賬戶。一旦進入,攻擊者便向每週下載數十億次的包推送了惡意更新。
Aikido Security的研究員Charlie Eriksen告訴BleepingComputer,這次攻擊尤其危險,因為它在“多個層面上運作:更改網站上顯示的內容、篡改API調用以及操縱用戶的應用程序認為他們正在簽署的內容”。
這次事件再次提醒我們,開源軟件的安全性不容忽視,開發者和用戶都需提高警覺,確保使用的代碼包來自可信的來源。隨著加密貨幣的普及,這類攻擊的風險也在增加,對於依賴這些技術的企業和個人而言,保持警惕和定期檢查所用工具的安全性至關重要。
以上文章由特價GPT API KEY所翻譯及撰寫。而圖片則由FLUX根據內容自動生成。
