Ledger首席技術官警告持續的NPM供應鏈攻擊，建議用户停止Onchain交易

Ledger首席技術官Charles Guillemet周一敦促加密貨幣用户在針對JavaScript生態系統的大規模供應鏈網絡攻擊發生后立即採取預防措施。

Guillemet在X上的一篇帖子中解釋説，一位受信任的開發人員的NPM帳户遭到了入侵，惡意代碼嵌入了廣泛使用的包中。

據報道，這些包已被下載超過10億次，這引發了人們對無數應用程序（包括與加密貨幣相關的應用程序）可能容易受到攻擊的擔憂。

吉勒梅特説：「一場大規模的供應鏈攻擊正在進行中。」他補充説，只要那些使用硬件錢包的人在簽署之前仔細驗證交易，他們就仍然是安全的。

他建議其他人暫時避免鏈上交易，直到局勢得到控制。

惡意代碼的工作原理是悄悄改變加密地址，在用户不知情的情況下將資金重定向給攻擊者。

一些開發人員將這一事件描述為「有史以來最大的供應鏈攻擊」。"

另請閲讀：到2030年穩定幣市值可能達到4萬億美元：伯恩斯坦

根據@0x_ultra等安全研究人員的説法，Chalk等大容量庫及其依賴項（每周下載量達數十億次）遭到了破壞。

他警告説，這些損壞的包可能會暴露私人密鑰。

包維護者證實了這一漏洞，並解釋説攻擊者使用來自虛假npmjs.com域名的網絡釣魚電子郵件來奪取帳户的控制權。

雖然補丁版本是在協調世界標準時間15：15左右發佈的，但專家警告説，前端應用程序可能仍面臨風險。

@0xCygaar指出，儘管NPM禁用了受影響的版本，但最近運行更新的開發人員應該仔細檢查其依賴性。

Guillemet再次強調，具有明確簽名功能的硬件錢包仍然是安全的，而僅依賴軟件錢包的用户風險最大。

這次攻擊類似於過去地址交換惡意軟件重定向資金的事件，與之前交易所入侵中與朝鮮黑客有關的技術相呼應。

閲讀下一步：

圖片：Shutterstock