交易所
交易所排行榜
24小时成交排行榜
人气排行榜
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
新闻
文章
大V快讯
ETF追踪
比特币持币公司
加密资产反转
账号安全
资讯收藏
自选币种
我的关注
硬件钱包制造商Ledger的首席技术官周一发布紧急警告,称发现针对全球JavaScript生态系统的大规模供应链攻击,这一事件引发全球加密货币用户的担忧。
攻击事件概况
这家巴黎公司的技术负责人Charles Guillemet在社交媒体上披露,一位可信开发者的NPM账户遭到入侵。与该账户关联的恶意软件包已被下载超过10亿次,可能导致无数网站、应用程序和加密项目暴露在风险中。
NPM(Node包管理器)作为全球最大软件注册中心,每月承载超过210万个软件包和1000亿次下载量,使其成为攻击者谋求广泛影响的主要目标。
"当前正在发生大规模供应链攻击,"Guillemet写道,"若使用具备交易确认功能的硬件钱包,仔细核对每笔交易即可确保安全。否则建议暂停所有链上交易。"
攻击手法与影响范围
据安全研究人员分析,植入的恶意代码会静默替换加密货币地址,在交易过程中将资金转向攻击者账户。独立安全专家@0xCygaar将其描述为"影响知名开发者NPM账户的供应链攻击",另一位研究员@0x_ultra指出,多个周下载量达数十亿次的主流JavaScript软件包已遭入侵。
这类"依赖劫持"攻击早有先例:2021年研究人员就记录过攻击者向ua-parser-js、coa和rc等常用NPM包注入恶意代码的事件,这些软件包每周下载量均达数百万次,当时短暂影响微软、苹果和Slack等企业。
本次事件中,攻击者通过仿冒npmjs.com的钓鱼邮件窃取凭证,并威胁账户停用来诱骗维护者点击恶意链接。这种方式与2020年SolarWinds攻击如出一辙,当时黑客通过在软件更新中植入后门,影响了包括美国政府机构在内的1.8万家客户。
应对措施与行业响应
虽然NPM在协调世界时间15:15左右禁用了受污染版本,但开发者仍被建议审查所有近期依赖更新。NPM母公司GitHub(隶属微软)宣布将提速强制双因素认证(2FA)计划,承诺在2025年底前覆盖所有维护者。
硬件钱包安全性
Ledger强调,采用具备交易确认功能硬件钱包的用户仍受保护。公司数据显示,自2014年成立以来已售出超600万台硬件钱包,保护着全球约20%的加密资产。其设备设计原理是将私钥隔离于可能存在风险的软件环境之外。
近年来黑客越来越多地利用可信开发工具渗透更广泛的生态系统。区块链分析公司数据显示,2017至2025年间,与某国有关的黑客组织通过类似供应链攻击窃取超30亿美元加密资产,其中2025年初就造成加密平台超15亿美元损失。
