币圈聚合(268btc.cc)讯:开源世界向来标榜透明与速度,如今却在速度之中留下裂缝。2025年9月8日,Ledger技术长Charles Guillemet发出警报:黑客入侵JavaScript生态核心——NPM套件库,将恶意代码植入每周下载量逾20亿次的套件,锁定加密货币用户的资产。短短数行代码,让整个Web3社群顿时笼罩在供应链攻击的阴影下。
钓鱼信突破2FA,恶意程序渗入主流套件
这场攻击始于一封伪装成npmjs.org的钓鱼邮件(npmjs.help)。黑客借此窃取开发者凭证、绕过二因子验证,再把后门代码写入chalk、debug、ansi-styles等热门套件。开发者、企业持续自动更新,于是把陷阱端到自身项目里。当使用者发起链上交易,程序会在浏览器层或桌面应用静默替换钱包地址,把ETH、BTC、SOL乃至USDT转进攻击者控制的地址,使用者往往无从察觉。
软件钱包首当其冲,硬件钱包成最后防线
攻击针对的是「连网且可执行」的环境,软件钱包因而风险最高。Guillemet提醒开发者与用户:「如果你使用的是浏览器外挂或桌面软件钱包,暂停所有链上操作,直到确认套件已完全修补。」
目前尚未掌握黑客是否同时窃取助记词,但软件钱包用户被建议即刻检查node_modules,搜寻关键字如'checkethereumw'。相较之下,硬件钱包凭借独立萤幕与签名按键,可阻断地址被窜改;不过,用户仍需在签名前仔细核对。
开源供应链的结构性警讯
根据资安观察平台汇整,这是加密产业迄今规模最大的供应链事件,也暴露三大结构性缺口。第一,开发者凭证保护不足,单点失守即可辐射全球。第二,NPM目前对代码签章与发布者来源的验证松散,缺乏强制硬件2FA。第三,企业过度依赖自动化更新,忽略来源审核,导致风险快速扩散。
部分受影响套件已由维护者紧急推出修补,恶意帐户亦被平台停权。然而npm的去中心化特质,意味着旧版残留依然存在,只要项目锁档未更新,就可能继续散布恶意程序。对开发者而言,要从「信任预设」转向「持续验证」,势必得引入全面性的代码签章与依赖关系扫描。
用户应对守则与长期路径
短期来看,用户可采取三步骤:一、检查环境并移除可疑版本;二、暂停软件钱包交易,或改用硬件钱包并启用明确签名功能;三、密切留意维护者公告与更新。中长期而言,业界需要在平台层面推动强制硬件二因子验证、加速代码签章,以及建立「最后一哩」的用户教育机制。
至于什么时候可回复交易,建议用户先查看项目方是否有公告使用JavaScript环境建设前后端,或在社群上提起发问,在获得澄清之前,尽量都先不要交互合约,以免造成财产损失。
主题测试文章,只做测试使用。发布者:admin,转转请注明出处:http://www.268btc.cc/51488.html
