加密貨幣用戶需謹慎防範 NPM 攻擊,核心 JavaScript 庫遭受侵害
近期發生的安全事件被稱為歷史上最大的供應鏈攻擊,駭客入侵了廣泛使用的 JavaScript 軟件庫,並注入了惡意軟件,該軟件旨在通過更改錢包地址和攔截交易來竊取加密貨幣。
根據週一的多份報導,駭客潛入了一位知名開發者的 Node Package Manager (NPM) 帳戶,並秘密添加了惡意代碼到數以百萬計的應用程序所使用的流行 JavaScript 庫中。
這些惡意代碼能夠更改或劫持加密貨幣錢包地址,將數十億次下載的項目置於風險之中。
「目前正在進行大規模的供應鏈攻擊:一位可信開發者的 NPM 帳戶已被入侵,」Ledger 的首席技術官查爾斯·吉耶梅特在週一警告道。「受影響的包裹已經被下載超過十億次,這意味著整個 JavaScript 生態系統可能面臨風險。」
此次攻擊針對的包裹包括 _chalk_、_strip-ansi_ 和 _color-convert_ 等小型工具,這些工具深埋在無數項目的依賴樹中。這些庫每週的下載量超過十億次,即使是從未直接安裝這些庫的開發者也可能受到影響。
NPM 就像是開發者的應用商店——一個中心庫,開發者在這裡分享和下載小型代碼包以構建 JavaScript 項目。
攻擊者似乎植入了一種稱為「加密夾」的惡意軟件,這種軟件在交易過程中默默地替換錢包地址以轉移資金。安全研究人員警告,依賴軟件錢包的用戶可能特別脆弱,而每次交易都在硬件錢包上確認的用戶則受到保護。
目前尚不清楚這種惡意軟件是否也試圖直接竊取種子短語。
這是一個持續發展的故事,隨著更多信息的出現,將會進一步更新。
—
這次事件不僅凸顯了開源軟件生態系統的脆弱性,也提醒我們在使用這些工具時必須保持警惕。開發者和用戶都應該加強對安全性的重視,特別是在進行敏感交易時,應考慮使用硬件錢包來保護資金。此外,這也引發了對開源軟件管理和監管的討論,未來或許需要更嚴格的措施來防範類似攻擊的發生。這次事件或許會促使開發者社群重新審視其安全策略和風險管理措施,進一步加強對於代碼庫的審查和監控。
以上文章由特價GPT API KEY所翻譯及撰寫。而圖片則由FLUX根據內容自動生成。
🎬 YouTube Premium 家庭 Plan成員一位 只需 HK$148/年!
不用提供密碼、不用VPN、無需轉區
直接升級你的香港帳號 ➜ 即享 YouTube + YouTube Music 無廣告播放
