自选
我的自选
查看全部
市值 价格 24h%
SVG Image
  • 全部
  • 产业
  • Web 3.0
  • DAO
  • DeFi
  • 符文
  • 空投再质押
  • 以太坊
  • Meme
  • 比特币L2
  • 以太坊L2
  • 研报
  • 头条
  • 投资
30.00% 70.00%
利好
利空

热门币种

更多

免责声明:内容不构成买卖依据,投资有风险,入市需谨慎!

每周下载量超20亿次的JavaScript库遭遇加密窃取攻击

2025-09-09 18:50:54
收藏

加密货币生态遭遇大规模供应链攻击

本周加密货币生态系统面临重大安全威胁,18个流行NPM JavaScript软件包在大规模供应链攻击中遭到入侵。该事件始于2025年9月8日,虽然可能危及数十亿美元资产,但由于快速检测而将损失控制在较低水平。

攻击始末

攻击始于冒充NPM官方支持的钓鱼邮件,目标是一位名为"Qix-"的知名开发者。攻击者通过劫持其账户获得了发布恶意更新至广泛使用JavaScript库的权限。

包括"chalk"、"debug"等基础JavaScript库在内的18个软件包被植入恶意代码,这些组件每周下载量合计超过20亿次,使此次攻击成为近年来影响范围最大的供应链攻击之一。

加密剪贴板劫持器运作原理

安全研究人员发现,恶意代码作为"加密剪贴板劫持器"运作。这种恶意软件会静默监控加密货币钱包地址,并将其替换为攻击者控制的地址。

植入后,恶意程序使用Levenshtein距离算法生成相似地址。当用户复制钱包地址进行交易时,程序会自动替换为攻击者地址。该攻击针对以太坊、比特币、Solana等多个区块链网络。

有限的经济损失

尽管攻击规模巨大,但经济损失出人意料地小。据现有数据,攻击者仅窃取了约497美元加密货币。快速检测和硬件钱包保护是限制损失的关键因素。

安全机构在恶意软件更新后约一小时就披露了事件并向社区发出警告,大大缩短了风险暴露窗口期。

硬件钱包的保护作用

使用Ledger或Trezor等硬件钱包的用户受到保护,因为这些设备需要物理确认交易细节。当用户在硬件钱包上验证收款地址时,可以识别任何地址替换尝试。

主要协议和钱包迅速做出回应。Uniswap、SUI、Jupiter等平台均发表声明表示正在采取措施保护用户,MetaMask确认用户"无需恐慌"。

事件启示

本次事件凸显了开源供应链脆弱性及其与Web3金融安全的关联。对开发者而言,它强调了依赖项管理和软件包审查的重要性;对加密用户而言,则印证了硬件钱包和交易验证的价值。

随着加密货币生态系统持续发展,用户和开发者都需要对日益复杂的软件供应链攻击保持警惕。

免责声明:

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证,网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用,不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责,与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容,并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文
更多新闻