北京時間 9 月 9 日，Ledger 首席技術官 Charles Guillemet 於 X 發文號已被取消帳號：「目前正在發生大規模的開發者所攻擊，一名知名預警已被下載。億次，這意味著整個 JavaScript 生態系統都可能面臨風險。補充表示：「惡意程式碼的工作原理是在後台靜默篡改加密貨幣地址，以此竊取資金。如果你使用硬體錢包，請仔細核對每一筆簽名交易，你就是安全的。如果你沒有使用硬體錢包，請暫時避免進取行任何鏈上交易。

根據 Guillemet 所引用的安全報告內容，本次事件發生的直接原因在於：知名開發者 @qix 的 NPM 帳戶遭到入侵，導致數十個軟體包被發布惡意版本，包括 chalk、strip-ansi 和 color-convert 等，惡意版本，包括用戶已安裝到自動終端機時已在使用裝置時。

簡而言之，這是一起經典的供應鏈攻擊案例——即攻擊者透過在開發工具或依賴系統中植入惡意程式碼（如 NPM 套件）來進行作惡。所謂 NPM，全稱為 Node Package Manager，它是 JavaScript/Node.js 生態裡最常用的軟體包管理工具，其主要功能包括管理依賴、安裝和更新軟體包、共享程式碼等等。

NPM 的生態規模極大，目前已有數百萬個軟體包，幾乎所有 Web3 專案、加密錢包、前端工具都會依賴 NPM——也正是因為 NPM 依賴數量龐大且鏈路複雜，所以它是供應鏈攻擊的高危險群入口，攻擊者只要在一個，常用軟體包

如上圖的惡意程式碼擴散流程圖所示：

· 某專案（藍色框）會直接依賴一些常見的開源程式庫，例如 express。

· 這些直接依賴（綠色框）又會依賴其他間接依賴（黃色框，如 lodash）。

· 如果某個間接依賴被攻擊者偷偷植入了惡意程式碼（紅色框），它會順著依賴鏈條進入該專案。

這對加密貨幣意味著什麼？

該起安全事件與加密貨幣行業的直接關係在於，黑客向上述受污染的軟體包中植入的惡意代碼是一個精密的“加密貨幣剪貼板劫持程序”，通過替換錢包地址和劫持交易來竊取加密資產。

Stress Capital 創始人 GE（@GuarEmperor）於 X 就此進行了更詳細的解釋，黑客所注入的"剪貼板劫持程序“採用了兩種被動攻擊模式——距離使用“剪貼文斯坦演算法algorithm）」替換錢包位址，由於視覺上近似因此極難察覺；主動模式下則會在偵測瀏覽器內的加密錢包，在用戶簽署交易前篡改目標位址。

由於本次攻擊針對的是 JavaScript 專案基礎層函式庫，這意味著即使間接依賴這些函式庫的專案也可能受到影響。

駭客獲利狀況如何？

駭客所植入的惡意程式碼也揭露了其攻擊位址，駭客在以太坊上的主要攻擊位址為 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976，資金上則主要來源

原文連結

發佈者對本文章的內容承擔全部責任
在投資加密貨幣前，請務必深入研究，理解相關風險，並謹慎評估自己的風險承受能力。不要因為短期高回報的誘惑而忽視潛在的重大損失。