全球加密貨幣警告：Ledger警告重大JavaScript供應鏈漏洞

Ledger 的首席技術官 Charles Guillemet 對他所描述的 JavaScript 生態系統中發生的最嚴重的供應鏈攻擊之一發出了警報。

分類帳發出緊急警告

周一，Ledger CTO Guillemet 在 X 上發布消息稱，一個知名開源維護者的 npm 帳戶已被攻擊，導致廣泛使用的軟體庫出現惡意更新。

他寫道，

“正在進行大規模供應鏈攻擊……整個JavaScript生態系統可能處於風險之中。”

他強調，如果硬體錢包用戶驗證每筆交易，他們將保持安全，但建議其他所有人暫時停止進行區塊鏈交易。

對廣泛使用的軟件包的惡意更新

該漏洞發生在9月8日，當時黑客獲得了Josh Goldberg（被稱爲“Qix”）的npm帳戶的訪問權限。攻擊者發布了18個軟件包的損壞版本，包括chalk、debug、strip-ansi和color-convert，這些軟件包每週的下載量超過26億，並嵌入了核心開發工具，如Babel和ESLint。

研究人員發現，注入的代碼攜帶了旨在攔截瀏覽器功能的“加密剪貼板”惡意軟件。該有效載荷將合法的錢包地址替換爲攻擊者控制的地址，並且在某些情況下，劫持錢包通信以在籤名應用之前修改交易。該惡意軟件是在構建錯誤後首次被檢測到，暴露了隱藏的混淆代碼。

復雜攻擊策略

分析顯示，該惡意軟件採用了雙重策略：被動地用相似地址替換錢包地址，同時主動攔截和更改基於瀏覽器的錢包（如MetaMask）上的交易。這種分層方法使攻擊者能夠無縫地重定向資金，通常用戶並未意識到。

調查顯示，此次泄露源於對npm維護者的網絡釣魚攻擊。僞造的電子郵件假冒官方npm安全通知，指示收件人更新雙因素身分驗證，否則將面臨帳戶暫停的風險。遵循連結的受害者被引導到一個假登入頁面，使攻擊者能夠獲取憑據並滲透到Goldberg的帳戶中。

一旦進入，攻擊者分發了核心軟件包的惡意版本，有效地將數百萬依賴的軟件工具武器化。安全公司 Aikido 指出，這段代碼充當了瀏覽器攔截器，能夠重寫支付目的地、修改 API 調用，並篡改網站內容。

持續的影響和行業擔憂

盡管npm已經移除了許多受損版本，但安全專家警告稱，隱藏的傳遞依賴關係使得完全遏制攻擊變得困難。開發者被敦促立即審計項目，鎖定已知安全的包版本，並重建鎖定文件。

這一事件突顯了開源生態系統的脆弱性，該系統在維護者和開發者之間高度依賴信任。隨着與被盜資金相關的錢包地址已在鏈上浮現，研究人員稱此次攻擊是JavaScript生態系統歷史上最嚴重的攻擊之一。

免責聲明：本文僅供參考。並不提供或意圖作爲法律、稅務、投資、財務或其他建議。