Ledger首席技术官警告持续的NPM供应链攻击，建议用户停止Onchain交易

Ledger首席技术官Charles Guillemet周一敦促加密货币用户在针对JavaScript生态系统的大规模供应链网络攻击发生后立即采取预防措施。

Guillemet在X上的一篇帖子中解释说，一位受信任的开发人员的NPM帐户遭到了入侵，恶意代码嵌入了广泛使用的包中。

据报道，这些包已被下载超过10亿次，这引发了人们对无数应用程序（包括与加密货币相关的应用程序）可能容易受到攻击的担忧。

吉勒梅特说：“一场大规模的供应链攻击正在进行中。”他补充说，只要那些使用硬件钱包的人在签署之前仔细验证交易，他们就仍然是安全的。

他建议其他人暂时避免链上交易，直到局势得到控制。

恶意代码的工作原理是悄悄改变加密地址，在用户不知情的情况下将资金重定向给攻击者。

一些开发人员将这一事件描述为“有史以来最大的供应链攻击”。"

另请阅读：到2030年稳定币市值可能达到4万亿美元：伯恩斯坦

根据@0x_ultra等安全研究人员的说法，Chalk等大容量库及其依赖项（每周下载量达数十亿次）遭到了破坏。

他警告说，这些损坏的包可能会暴露私人密钥。

包维护者证实了这一漏洞，并解释说攻击者使用来自虚假npmjs.com域名的网络钓鱼电子邮件来夺取帐户的控制权。

虽然补丁版本是在协调世界标准时间15：15左右发布的，但专家警告说，前端应用程序可能仍面临风险。

@0xCygaar指出，尽管NPM禁用了受影响的版本，但最近运行更新的开发人员应该仔细检查其依赖性。

Guillemet再次强调，具有明确签名功能的硬件钱包仍然是安全的，而仅依赖软件钱包的用户风险最大。

这次攻击类似于过去地址交换恶意软件重定向资金的事件，与之前交易所入侵中与朝鲜黑客有关的技术相呼应。

阅读下一步：

图片：Shutterstock