区块链安全研究人员近日披露,一场针对JavaScript软件库的大规模供应链攻击中,黑客仅成功窃取了价值约50美元的加密货币。
根据Security Alliance于本周一发布的调查报告,黑客入侵了一位知名开发者的NPM(Node Package Manager)账户,并向一个已被累计下载超过10亿次的热门JavaScript库植入了恶意代码,导致大量加密项目面临潜在威胁。该攻击主要针对以太坊(ETH)和索拉纳(SOL)钱包用户。
Security Alliance指出,截至目前,黑客实际盗取的加密货币金额不足50美元,并已确认以太坊地址“0xFc4a48”为当前唯一已知的恶意钱包。该机构在X平台进一步补充道:
“想象一下:你成功入侵了一位NPM开发者账户,其软件包每周下载量超20亿次。你可以访问数百万开发者的设备,触手可及的是无数数字资产。然而最终,你只获利不到50美元。”
图片来源:Security Alliance
化名为SEAL的安全研究员Samczsun在接受Cointelegraph采访时表示:“黑客并未充分利用其获取的高级访问权限。这就像拿到了Fort Knox金库的门禁卡,却只把它当成书签使用。尽管恶意软件传播范围广泛,但目前已被基本控制。”
不过值得注意的是,被盗金额在几小时前还仅为5美分,这表明攻击可能仍在持续演变中。
被盗资产包括ETH与多种迷因币
Security Alliance透露,最初失窃的资产包括5美分的以太币(ETH)以及约20美元的各种迷因币(memecoin)。
根据Etherscan数据,恶意地址已接收到包括Brett(BRETT)、Andy(ANDY)、Dork Lord(DORK)、Ethervista(VISTA)和Gondola(GONDOLA)在内的多种迷因币。
未直接使用NPM的加密项目仍可能受影响
本次攻击针对的是chalk、strip-ansi和color-convert等被广泛引用的基础工具库。这些软件包常作为底层依赖被嵌套在各种项目中,因此即使开发者未主动安装,仍可能面临风险。
NPM作为JavaScript开发者的核心资源库,是一个集中式的代码包管理平台,开发者常借助它共享和使用开源模块以构建应用。
攻击者据信植入的是一种称为“crypto-clipper”的恶意程序,该软件会在用户发起转账时偷偷替换目标钱包地址,从而实现资产转移。
Ledger首席技术官Charles Guillemet与多位行业专家一致呼吁,加密货币用户在进行链上交易时应始终保持警惕,仔细核对交易信息。
Ledger同时发布声明称,其硬件钱包产品未直接受到本次NPM事件影响。
加密项目创始人:用户不会立即遭受损失
DeFiLlama匿名创始人0xngmi表示,只有那些在恶意软件包发布后更新了依赖的项目才可能受到影响。并且,用户仍需主动授权恶意交易才可能导致资产损失。
他与Guillemet均建议,在相关开发团队彻底清除恶意包之前,用户应暂时避免访问可能受影响的加密网站,以降低风险。
声明:文章不代表CHAINTT观点及立场,不构成本平台任何投资建议。投资决策需建立在独立思考之上,本文内容仅供参考,风险 自担!转载请注明出处:https://www.chaintt.cn/39305.html
