自选
我的自选
查看全部
市值 价格 24h%
SVG Image
  • 全部
  • 产业
  • Web 3.0
  • DAO
  • DeFi
  • 符文
  • 空投再质押
  • 以太坊
  • Meme
  • 比特币L2
  • 以太坊L2
  • 研报
  • 头条
  • 投资
10.00% 90.00%
利好
利空

热门币种

更多

免责声明:内容不构成买卖依据,投资有风险,入市需谨慎!

重大ENS与加密库遭NPM供应链攻击波及

2025-11-24 21:19:49
收藏

大规模JavaScript供应链攻击波及加密生态

网络安全公司Aikido Security研究显示,一场重大JavaScript供应链攻击已导致数百个软件包遭到篡改,其中至少包含10个在加密领域广泛使用的核心组件。

研究员Charlie Eriksen在周一公布的报告中列出了400余个存在感染迹象的软件包,这些包均被检测出携带具有自我复制功能的"沙虫"恶意软件。Eriksen强调已对每个检测结果进行人工核验,以避免误报。

加密组件遭受重创

受影响的加密相关组件中,多个包周下载量达数万次,且被大量其他软件包作为依赖项。Eriksen特别提醒以太坊域名服务团队,其旗下多个核心组件已确认遭受感染。

本次攻击是软件供应链威胁持续升级的体现。九月初曾爆发史上最大规模NPM攻击事件,造成5000万美元加密资产被盗。亚马逊云科技指出,首轮攻击发生一周后,"沙虫"蠕虫便开始自主传播。

恶意软件运作机制

与前次直接窃取加密资产不同,"沙虫"是能自主传播的多用途凭证窃取程序。加密取证公司AMLBot首席执行官Slava Demchuk解释道:"系统一旦感染,蠕虫便会收集密钥、自我复制、公开私有代码库,并持续扩散。"

Demchuk警告称:"若受感染环境中存有敏感密钥,且这些密钥能访问其他系统,应默认其已暴露。"

重点受影响组件清单

加密领域受影响的10个组件中,多数与以太坊域名服务相关:

• 内容哈希组件周下载量3.6万次,91个软件包依赖该组件

• 地址编码器周下载量超3.7万次

• ensjs组件周下载量超3万次

• 验证工具包周下载量1750次

• 以太坊交互包周下载量1.26万次

• 合约工具包周下载量3100次

非ENS相关的加密地址编解码器同样遭波及,周下载量近3.5万次。

非加密组件同样沦陷

企业自动化平台Zapier提供的多个组件受到感染,其中某个组件周下载量超过4万次。后续监测发现更多受感染组件,个别周下载量达70万次,更有组件周下载量突破150万次。

Eriksen在社交媒体上表示:"此次攻击规模远超预期,我们仍在持续核实中,之前的安全事件与之相比微不足道。"

网络安全公司Wiz研究人员宣称已发现约350个用户账户下的2.5万余个代码库受影响,过去数小时内每30分钟就有1000个新代码库被添加至感染名单。该公司建议所有使用npm的环境立即开展排查与修复工作。

免责声明:

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证,网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用,不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责,与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容,并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文
更多新闻