JavaScript包遭供应链攻击蔓延……ENS等加密基础设施亦受感染_新闻

免责声明：内容不构成买卖依据，投资有风险，入市需谨慎！

JavaScript包遭供应链攻击蔓延……ENS等加密基础设施亦受感染

2025-11-24 20:32:22

针对JavaScript生态系统的供应链攻击正迅速蔓延至加密货币行业

近日，网络安全公司Aikido Security披露，名为"沙虫"的恶意软件已感染至少数百个软件包，其中至少有10个与加密项目密切相关。该公司研究员查理·埃里克森于当地时间6日通过官方博客表示，已确认超过400个疑似受感染软件包。他强调通过人工逐一验证感染情况，尽可能减少了误报。

本次供应链攻击正通过JavaScript包管理注册表NPM传播，属于一种自我复制的恶意软件。由于潜伏在开发者日常使用的开源软件包中进行传播，其感染速度与影响范围极为迅猛。多个与加密货币社区相关的软件包受到波及，其中不少是周下载量达数万次的热门模块。

埃里克森当天还在社交媒体平台X上向以太坊域名服务团队发出感染风险警告，指出其使用的若干软件包同样遭到渗透。该服务作为基于以太坊的网络地址核心基础设施，被众多加密项目和NFT市场广泛采用。

供应链攻击通过向常用开发工具或程序库植入恶意代码实现间接渗透，相较于直接攻击特定目标更难以检测，可能造成更大损失，因此一直是安全领域的重点防范对象。鉴于多数基于开源的加密项目都使用第三方软件包，此次事件导致整个市场的紧张情绪持续升温。

加密货币开发企业预计将借此契机全面检查依赖软件包的安全性并强化安全协议。虽然具体损失规模尚待确认，但核心服务项目若持续受影响，其连锁反应或将延续。

市场影响

开源技术作为开放网络生态的基石沦为黑客攻击源头，再次暴露出去中心化技术的脆弱性。若智能合约或钱包后端等广泛使用的软件包遭受感染，将对用户资产保护构成严重威胁。

应对策略

建议各项目彻查依赖软件清单并强化人工验证流程，使用含新代码的外部程序库时需增加安全审查环节，同时对核心基础设施开展专项漏洞诊断。

术语解析

供应链攻击：通过攻击目标所需的软件或服务实现间接渗透的网络攻击手段。NPM：JavaScript生态广泛使用的包管理系统，多数Web加密项目均采用该体系。ENS：将以太坊复杂钱包地址转换为可读域名的解析系统。

免责声明：

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证，网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用，不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责，与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容，并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文