新的NPM供应链攻击危及主要ENS和加密库

！image

资料来源：CryptoNewsNet 原始标题：新的NPM供应链攻击危害主要的ENS和加密库 原始链接： 根据网络安全公司Aikido Security的新研究，一场重大的JavaScript供应链攻击已经影响了数百个软件包——包括至少10个在加密生态系统中被广泛使用的包。

在周一的帖子中，Aikido Security的研究员Charlie Eriksen分享了超过400个显示出感染"Shai Hulud"自我复制恶意软件的包的名称，该恶意软件在进行中的JavaScript NPM库供应链攻击中被使用。Eriksen表示，他验证了每个检测结果，以避免误报。

许多与加密货币相关的包每周收到数万次下载，并且有许多其他包需要它们才能正常运行。在今天早些时候发布的一篇 X 帖子中，Eriksen 还警告了以太坊名称服务 (ENS) 团队，他们的多个包受到了影响。

Shai Hulud 是更广泛的供应链攻击趋势的一部分。在九月初，迄今为止最大的一次 NPM 攻击报告显示黑客仅偷取了 $50 百万加密货币。亚马逊网络服务指出，这次首次攻击后，仅一周后，Shai-Hulud 蠕虫便开始自主传播。

虽然之前的攻击直接针对加密货币以窃取资产，但Shai-Hulud是一种通用的凭证窃取恶意软件，能够在开发者基础设施中自主传播。如果受感染的环境包含钱包密钥，该恶意软件将像其他任何凭证一样将其作为"秘密"窃取。

哪些加密货币包受到影响？

在所有受影响的包中，至少有10个与加密货币行业直接相关，几乎所有都与ENS有关，这是一个可读性地址名称服务。受影响的包包括ENS的内容哈希，每周下载量接近36,000次，以及依赖于它的91个软件包，还有地址编码器，每周下载量超过37,500次。

其他受影响的ENS包包括ensjs (每周下载超过30,000次)，ens-validation (1,750每周下载)，ethereum-ens (12,650每周下载)，以及ens-contracts (每周下载近3,100次)。一个与ENS无关的加密货币相关包，名为crypto-addr-codec，也遭到破坏，下载量接近35,000次。

受影响的热门非加密包

与加密货币无关的软件包受到影响，包括企业自动化平台 Zapier 提供的一些软件包，其中一个每周下载量超过 40,000 次，还有许多下载量也不远落后。在随后的帖子中，Eriksen 指出了其他感染的软件包，有些每周下载量接近 70,000 次，还有另一个软件包每周下载量超过 150 万次。

"这次新的沙赫鲁德攻击的范围实在是巨大；我们仍在处理队列以确认所有内容，"埃里克森在X上写道。

“这将让之前的攻击看起来微不足道。”

网络安全公司Wiz的研究人员声称"发现了超过25,000个受影响的代码库，涉及约350个独特用户，过去几个小时内每30分钟就有1,000个新代码库不断添加。“该公司建议对任何使用npm的环境进行"立即调查和修复”。