Ledger首席技术官针对大规模NPM供应链攻击发出用户警告_新闻

免责声明：内容不构成买卖依据，投资有风险，入市需谨慎！

Ledger首席技术官针对大规模NPM供应链攻击发出用户警告

2025-09-09 14:55:41

莱杰首席技术官发布紧急安全警告

莱杰公司（Ledger）首席技术官查尔斯·吉列梅于本周一发布紧急安全警告，建议部分用户暂停链上交易操作。该警报源于一起大规模供应链攻击事件——某知名开发者的NPM账户遭到入侵，受影响软件包的累计下载量已超10亿次。

攻击事件详情

吉列梅在社交平台X上发文称："目前正在发生大规模供应链攻击，某知名开发者的NPM账户已被攻破。若您使用硬件钱包且仔细核对每笔交易签名，则可确保安全；否则建议暂停所有链上交易。"

供应链攻击针对软件分发环节而非终端用户。此次事件中，黑客获取了开发者"qix"的NPM账户权限，注入可自动替换加密货币地址的恶意代码，诱使用户将资金转入攻击者账户。该手法与今年朝鲜黑客攻击加密货币交易所Bybit（涉案金额15亿美元）采用的技术高度相似。

加密货币开发者迅速发现异常。据安全研究员@0x_ultra披露，周下载量超20亿次的Chalk等软件包遭到污染，可能窃取用户私钥。受影响的开发者证实，攻击者通过伪装成NPM的钓鱼邮件威胁冻结维护者账户，诱导其访问恶意网站。但截至发稿时，攻击者仅成功窃取498美元。

用户应对指南

据悉受污染软件包已在UTC时间15:15完成修复，但近期更新依赖项的网站和应用程序仍存在风险。包括Uniswap、Metamask、莱杰、OKX Wallet、Sui、Aave和Morpho在内的多家机构已声明未受此次NPM供应链攻击影响。

吉列梅特别强调，使用支持交易明文签名的硬件钱包用户可确保安全。同时建议开发者全面核查所有依赖项，避免使用受污染版本。此次事件可能成为史上最大规模供应链攻击，再次警示软件生态系统日益增长的安全风险及加密货币交易中安全防护的重要性。

免责声明：

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证，网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用，不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责，与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容，并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文

我的自选

Ledger首席技术官针对大规模NPM供应链攻击发出用户警告

莱杰首席技术官发布紧急安全警告

攻击事件详情

用户应对指南

更多新闻