加密貨幣用戶被警告需特別小心,因NPM攻擊影響核心JavaScript庫
黑客已經入侵了廣泛使用的JavaScript軟件庫,這被稱為歷史上最大的供應鏈攻擊。據報導,這些注入的惡意軟件旨在通過替換錢包地址和攔截交易來盜取加密貨幣。
根據周一的多份報導,黑客入侵了一位知名開發者的Node Package Manager(NPM)賬戶,並秘密地向數以百萬計的應用程序中使用的流行JavaScript庫添加了惡意代碼。
這些惡意代碼會替換或劫持加密貨幣錢包地址,潛在地使許多項目面臨風險。
“目前正在進行大規模的供應鏈攻擊:一位可靠開發者的NPM賬戶已被入侵,”Ledger的首席技術官Charles Guillemet在周一警告說。“受影響的包已經被下載超過10億次,這意味著整個JavaScript生態系統可能面臨風險。”
此次攻擊針對的包包括chalk、strip-ansi和color-convert等,這些小工具深埋在無數項目的依賴樹中。這些庫每週的下載量超過10億次,這意味著即使是從未直接安裝過這些庫的開發者也可能受到影響。
NPM就像是開發者的應用商店——一個集中庫,開發者可以在這裡分享和下載小代碼包來構建JavaScript項目。
攻擊者似乎植入了一種加密劫持器,這是一種惡意軟件,會在交易過程中靜默地替換錢包地址,以轉移資金。
用戶被警告避免進行加密交易
根據DefiLlama創始人Oxngmi的一則X帖文,這段惡意代碼不會自動耗盡錢包——用戶仍需批准不良交易。
由於被黑客入侵的JavaScript包可以改變當你點擊按鈕時發生的事情,因此在受影響的網站上點擊“交換”按鈕可能會更改交易細節,將資金發送給黑客。
他補充說,只有在被入侵的包發佈後更新的項目才會面臨風險,許多開發者會“鎖定”他們的依賴,以保持使用較舊的安全版本。
不過,由於用戶無法輕易判斷哪些網站已安全更新,因此最好在受影響的包被清理之前避免使用加密網站。
網絡釣魚郵件使攻擊者獲得NPM維護者賬戶的訪問權限
攻擊者發送了假冒官方NPM支持的郵件,警告維護者如果不在9月10日之前“更新”雙重身份驗證,他們的賬戶將被鎖定。
這個假網站捕獲了登錄憑證,使黑客能夠控制維護者的賬戶。一旦進入,攻擊者就向每週下載量達數十億的包推送了惡意更新。
Aikido Security的研究員Charlie Eriksen告訴BleepingComputer,這次攻擊特別危險,因為它在“多個層面上運作:改變網站上顯示的內容、篡改API調用,以及操縱用戶應用程序認為他們正在簽署的內容。”
這次事件再次提醒我們,開源軟件雖然促進了創新和合作,但同時也存在著安全風險。開發者和用戶都應該提高警惕,定期檢查所使用的庫和依賴,並保持對潛在安全威脅的敏感性。在這個數字時代,安全意識不僅是開發者的責任,更是每一位用戶的責任。
以上文章由特價GPT API KEY所翻譯及撰寫。而圖片則由FLUX根據內容自動生成。
🎬 YouTube Premium 家庭 Plan成員一位 只需 HK$148/年!
不用提供密碼、不用VPN、無需轉區
直接升級你的香港帳號 ➜ 即享 YouTube + YouTube Music 無廣告播放
