Ledger 首席技术官警告 NPM 供应链攻击影响逾 10 亿次下载

硬件钱包制造商Ledger的首席技术官Charles Guillemet，在X上发出警告 周一宣布，在一位知名开发者的 Node Package Manager (NPM) 账户被攻破后，一场大规模供应链攻击正在进行中。

据Guillemet称，该恶意代码已被植入下载量超过10亿次的软件包中，旨在在交易中悄然替换加密钱包地址。这意味着毫无防备的用户可能在不知情的情况下，将资金直接发送给攻击者。

Guillemet 未透露他所说的被攻破账户的开发者姓名。

该事件凸显了开源软件的深度互联性，以及开发者工具中的安全漏洞为何能几乎瞬间波及加密经济。

“NPM 是一种常用于使用 JavaScript 进行软件开发的工具，它使开发者能够轻松集成软件包，”Guillemet 在致 CoinDesk 的一则信息中表示。当攻击者入侵开发者账户时，他们可能将恶意代码植入广泛使用的软件包中。

“该恶意代码试图通过在交易或一般链上活动中更换使用的地址，并将其替换为黑客的地址，从而抽取用户资金，”Guillemet补充道。

Guillemet 强调，如果任何跨区块链的去中心化应用或软件钱包包含这些 JavaScript 包，那么它们可能会被攻击，导致加密货币用户资金损失。

“应对这一问题的唯一可靠方法是使用配备安全屏幕并支持清晰签名（Clear Signing）的硬件钱包，”Guillemet 在接受 CoinDesk 采访时表示。“这样用户可以准确看到资金发送至的地址，并确保其与预期地址一致。”

"没有安全屏幕的硬件钱包以及任何不支持清晰签名的钱包都存在高风险，因为无法准确验证交易详情的正确性，"他补充道。"

“这是一个提醒大家的机会：始终验证您的交易，切勿盲目签名，使用带有安全屏幕的硬件钱包，并且清晰地签署所有内容，”吉勒梅特说道。

阅读更多：Ledger首席技术官回应新钱包恢复服务的质疑