在有关一场大规模供应链攻击的报道引发整个行业恐慌后，加密公司正争先恐后地评估其潜在影响。这次攻击涉及一个被广泛使用的软件库。

Ledger首席技术官Charles Guillemet于周一发出紧急警告，敦促用户暂停链上交易。他表示，一个恶意载荷已被植入下载次数超过十亿次的JavaScript软件包中，这种级别的入侵可能会威胁整个生态系统。

“目前正在发生一场大规模的供应链攻击：一位知名开发者的NPM账户已被攻破。受影响的软件包已被下载超过10亿次，这意味着整个JavaScript生态系统可能都处于风险之中。”Guillemet在X平台上发布消息称。他补充说，该恶意软件会在用户不知情的情况下动态篡改加密地址，以窃取资金。

开发者被虚假锁定警报欺骗，凭据在NPM攻击中被盗

这次攻击源于对Josh Junon的NPM账户的入侵，他在开源社区中以“qix”著称。黑客发送了钓鱼邮件，仿冒官方的npmjs.com域名，警告称账户即将被锁定。

这些消息诱使Junon点击链接，链接将他重定向到一个伪造的登录页面，在那里他的登录凭据被窃取。

Junon随后在GitHub和Bluesky上确认自己受骗。他写道：“对不起大家，我本该更加留意。”他还表示，这是一个充满压力的一周，并承诺将协助处理此次事件。

一些业内人士表示，这可能是有史以来最大规模的供应链攻击事件。

Uniswap、MetaMask等表示未受此次漏洞影响

该恶意软件旨在拦截以太坊、比特币、Solana和波场（Tron）等区块链上的加密货币交易。它特别威胁那些集成了受感染软件包的软件钱包、去中心化应用（dApp）以及基于网页的界面。通过在用户毫不知情的情况下悄悄篡改接收地址，攻击者能够在资金转出时将其重定向，直到为时已晚用户才会发现异常。

各家公司迅速采取行动安抚用户情绪。Uniswap、Morpho、MetaMask、OKX Wallet、Sui 和 Aave 均表示未受到此次安全漏洞的影响。

由于恶意代码上线时间大约为两小时，在此期间 NPM 安全团队尚未介入，一些应用程序很可能在该时间段内集成了受感染的版本。不过，区块链监控人员表示，攻击者目前尚未收到任何被盗资金。

Junon 也承认，自己曾在不知情的情况下授权重置了账户的双重身份验证设置，使入侵者获得了更多控制权。这个疏忽与钓鱼攻击相结合，为这次攻击打开了大门。

虽然清理工作正在进行中，但这起安全事件引发了人们对支撑加密经济的开源基础设施韧性的质疑。事件也显示，单一开发者账户被攻破，可能会对全球整个生态系统造成连锁反应。

The post 加密公司评估大规模供应链安全漏洞的影响 appeared first on Cryptonews China.