受信任的 NPM 帳戶被劫持，傳播惡意代碼，危及加密貨幣交易和錢包 A...

黑客利用假網站盜取了一個受信任的npm帳號，並在流行的包中傳播有害代碼。

如果使用了感染的JavaScript庫，像MetaMask和Trust這樣的加密錢包可能會面臨風險。

用戶應停止簽署交易，並檢查所有軟件包，如果他們的應用程序最近通過 npm 更新。

一場重大的供應鏈攻擊已使一個廣泛信任的 npm JavaScript 帳號受到損害。研究人員確認惡意代碼已經感染了 18 個流行的包。這些包在過去一周內被下載超過 20 億次。受影響的包中包含能夠悄無聲息地交換加密錢包地址的代碼。

此攻擊旨在在用戶不知情的情況下轉移交易。即使用戶簽署了看似正確的交易，資金仍可能流向攻擊者。由於這些包的深度集成，JavaScript 生態系統面臨風險。開發者被敦促立即審計並移除受影響的依賴項。

加密錢包和生態系統面臨風險

該攻擊影響了許多知名的瀏覽器和桌面錢包，例如：MetaMask、Trust 和 Exodus。硬體錢包仍然更安全，但是用戶仍然必須仔細驗證交易細節。攻擊者使用類似的錢包地址在籤名過程中欺騙用戶。

只有逐字符的詳細檢查才能發現差異。大多數用戶只檢查錢包地址的前幾個和最後幾個字符。這使他們容易受到地址交換策略的攻擊。如果自動腳本和智能合約依賴於被攻破的庫，它們也面臨風險。

入口點是一個被攻擊的開發者帳號

此次數據泄露始於攻擊者控制了一名受信任的npm維護者的帳號。研究人員認爲這是通過釣魚和虛假的雙因素認證提示實現的。

最近，網路安全研究人員注意到黑客通過 NPM 包在以太坊智能合約中隱藏惡意軟件，利用區塊鏈 URL 來繞過掃描並傳遞第二階段有效載荷。攻擊者建立了虛假的 GitHub 倉庫，僞造提交和多個帳號以提高可信度。GitHub 用戶報告了僞裝成 npm 支持的可疑電子郵件。

攻擊者使用了一個模仿真實 npm 網站的域名。這些郵件威脅要鎖定帳號，以迫使開發者點擊釣魚連結。一旦被攻破，帳號就被用來更新多個帶有惡意負載的軟件包。一些軟件包後來被修補，但其他軟件包仍然不安全。

安全警告與開發者回應

安全團隊和研究人員警告用戶暫時避免鏈上活動。加密用戶應禁用瀏覽器錢包並暫時停止簽署交易。目前尚未報告重大損失，但風險仍然很高。

一些去中心化金融平台，包括 Axiom 和 Kamino，確認他們沒有使用受感染的包。然而，開發者必須檢查所有依賴項，尤其是那些與流行庫如 Chalk 相關的。這種脆弱性在 2024 年也被注意到，當時黑客利用 Lottie Player Java Script，危及了 1inch 等受信任的去中心化金融網站上的錢包。

npm團隊禁用了已知的被攻擊版本，但最近的更新仍可能存在風險。攻擊的完整規模仍然未知。如果更多開發者帳號被使用類似的網絡釣魚策略攻擊，威脅可能會擴大。