新的NPM供應鏈攻擊危及主要ENS和加密庫

！image

資料來源：CryptoNewsNet 原始標題：新的NPM供應鏈攻擊危害主要的ENS和加密庫 原始連結： 根據網路安全公司Aikido Security的新研究，一場重大的JavaScript供應鏈攻擊已經影響了數百個軟件包——包括至少10個在加密生態系統中被廣泛使用的包。

在周一的帖子中，Aikido Security的研究員Charlie Eriksen分享了超過400個顯示出感染"Shai Hulud"自我復制惡意軟件的包的名稱，該惡意軟件在進行中的JavaScript NPM庫供應鏈攻擊中被使用。Eriksen表示，他驗證了每個檢測結果，以避免誤報。

許多與加密貨幣相關的包每週收到數萬次下載，並且有許多其他包需要它們才能正常運行。在今天早些時候發布的一篇 X 帖子中，Eriksen 還警告了以太坊名稱服務 (ENS) 團隊，他們的多個包受到了影響。

Shai Hulud 是更廣泛的供應鏈攻擊趨勢的一部分。在九月初，迄今爲止最大的一次 NPM 攻擊報告顯示黑客僅偷取了 $50 百萬加密貨幣。亞馬遜網路服務指出，這次首次攻擊後，僅一周後，Shai-Hulud 蠕蟲便開始自主傳播。

雖然之前的攻擊直接針對加密貨幣以竊取資產，但Shai-Hulud是一種通用的憑證竊取惡意軟件，能夠在開發者基礎設施中自主傳播。如果受感染的環境包含錢包密鑰，該惡意軟件將像其他任何憑證一樣將其作爲"祕密"竊取。

哪些加密貨幣包受到影響？

在所有受影響的包中，至少有10個與加密貨幣行業直接相關，幾乎所有都與ENS有關，這是一個可讀性地址名稱服務。受影響的包包括ENS的內容哈希，每週下載量接近36,000次，以及依賴於它的91個軟件包，還有地址編碼器，每週下載量超過37,500次。

其他受影響的ENS包包括ensjs (每週下載超過30,000次)，ens-validation (1,750每週下載)，ethereum-ens (12,650每週下載)，以及ens-contracts (每週下載近3,100次)。一個與ENS無關的加密貨幣相關包，名爲crypto-addr-codec，也遭到破壞，下載量接近35,000次。

受影響的熱門非加密包

與加密貨幣無關的軟件包受到影響，包括企業自動化平台 Zapier 提供的一些軟件包，其中一個每週下載量超過 40,000 次，還有許多下載量也不遠落後。在隨後的帖子中，Eriksen 指出了其他感染的軟件包，有些每週下載量接近 70,000 次，還有另一個軟件包每週下載量超過 150 萬次。

"這次新的沙赫魯德攻擊的範圍實在是巨大；我們仍在處理隊列以確認所有內容，"埃裏克森在X上寫道。

“這將讓之前的攻擊看起來微不足道。”

網路安全公司Wiz的研究人員聲稱"發現了超過25,000個受影響的代碼庫，涉及約350個獨特用戶，過去幾個小時內每30分鍾就有1,000個新代碼庫不斷添加。“該公司建議對任何使用npm的環境進行"立即調查和修復”。