JavaScript 库遭受攻击：正在动摇加密货币基础的供应链攻击

我从没想过我会看到我们开源生态系统被如此残酷地利用的那一天。现在在JavaScript世界发生的事情不仅仅是另一起安全漏洞——这对任何持有加密货币的人来说都是个可怕的噩梦，特别是对于那些依赖软件钱包的我们。

一些聪明的家伙设法劫持了一位受人尊敬的开发者的NPM账户，在几乎每个JavaScript项目依赖的库中注入恶意代码。我们说的是chalk、strip-ansi和color-convert——看似微不足道的工具，但却是无数应用程序的支柱。

真正可怕的部分是什么？这种恶意软件专门针对加密货币交易，通过更换钱包地址来进行攻击。你以为自己是在给朋友发送资金，但实际上这些资金正好直接进入某个黑客的钱包。这是数字世界中像扒手一样的行为，趁你不注意将你的现金换成了大富翁游戏币。

这些被破坏的库每周下载超过十亿次。十亿！即使你没有直接安装它们，你的项目可能也依赖于某些依赖于某些使用它们的东西。感染像病毒一样在依赖树中无声传播。

硬件钱包用户可以松一口气——至少你需要亲自确认交易。但是对于我们这些使用软件钱包的人来说？我们就像坐着的鸭子。没人知道这些攻击者是否也在寻找种子短语，但我不会感到惊讶。

这次攻击揭示了我们整个生态系统建立的脆弱的纸牌屋。我们宣扬去中心化，却依赖像NPM这样的中心化存储库——基本上是一个应用商店，其中的代码可能在未被发现的情况下被破坏，直到为时已晚。

加密行业一直在谈论主流采用，但当基本安全如此脆弱时，我们如何能期待呢？信任在金融中是至关重要的，而这样的漏洞使我们的公众认知倒退了数年。

保持警惕——这一情况仍在发展中，数十亿美元的数字资产岌岌可危。