收款地址秒變駭客錢包！NPM 供應鏈攻擊滲透幣圈，Ledger 技術長曝「自保關鍵」

冷錢包大廠 Ledger 技術長 Charles Guillemet 周一引述研究報告示警，開源軟體生態近日爆發供應鏈攻擊，駭客在多個熱門 NPM 套件中植入惡意程式，並透過這些每周合計下載量超過 26 億次的開源工具，在用戶毫不察覺的情況下劫持加密貨幣交易。

報告指出，知名開源開發者 Josh Junon（qix） 因落入釣魚圈套，導致 Node Package Manager（NPM）帳號遭駭，而他所維護的多個 NPM 套件也因而被植入惡意程式，相關套件包括： chalk（每周下載量 2.9999 億次）、 debug（每周下載量 3.576 億次）和 ansi-styles（每周下載量 3.7141 億次）等。

根據 Charles Guillemet 的說法，這波攻擊的核心手法，是在用戶不知情的情況下，竄改加密貨幣交易中的收款地址，將資金直接發送到駭客控制的錢包。

https://twitter.com/p3b7_/status/1965094840959410230?s=46&t=LcdHxOgtVViJTm8qmgGf-g

Charles Guillemet 解釋，NPM 是 JavaScript 生態中最廣泛使用的軟體套件託管平台，能讓開發者輕鬆整合程式功能。然而，一旦開發者帳號遭入侵，駭客就能輕鬆將惡意程式悄悄植入套件，影響範圍極廣。

他指出，惡意程式會攔截交易地址，將用戶輸入的收款地址替換成駭客的地址。換言之，任何去中心化應用（dApp）或軟體錢包，只要內含這些 JavaScript 套件，都有可能受波及，用戶資金隨時面臨遭竊風險。

至於如何因應，Charles Guillemet 建議最可靠的辦法，是使用具備安全螢幕、支援 Clear Signing 的冷錢包。他解釋，這讓用戶能在簽署前清楚檢視交易細節，確認實際收款地址是否正確，有效避免收款地址在「看不見」的情況下被偷天換日。

沒有安全螢幕的冷錢包，或任何不支援 Clear Signing 的錢包，都存在高度風險，因為用戶無法準確驗證交易資訊是否正確。

Charles Guillemet 最後呼籲，這起攻擊事件再次提醒所有用戶，永遠不要盲目簽署交易。

一定要驗證交易資訊、切勿盲簽，並使用帶有安全螢幕的硬體錢包，確保每一次簽署都是 Clear Sign 。

為確保資產安全，《區塊客》提醒讀者進行鏈上交易時，務必要注意：

• 轉帳前逐一核對收款人地址與金額，避免誤轉或遭竄改。

• 貼上錢包地址後再次確認，警惕惡意程式自動替換。

• 定期檢視近期交易紀錄，及早發現異常狀況。

• 大額交易建議優先使用冷錢包（硬體錢包），降低被盜風險。

• 若手邊沒有冷錢包，建議暫時避免進行鏈上交易，以免暴露於風險之中。

〈收款地址秒變駭客錢包！NPM 供應鏈攻擊滲透幣圈，Ledger 技術長曝「自保關鍵」〉這篇文章最早發佈於《區塊客》。

『新聞來源／區塊客 blockcast https://blockcast.it/』

發佈者對本文章的內容承擔全部責任
在投資加密貨幣前，請務必深入研究，理解相關風險，並謹慎評估自己的風險承受能力。不要因為短期高回報的誘惑而忽視潛在的重大損失。