全球加密货币警告：Ledger警告重大JavaScript供应链漏洞

Ledger 的首席技术官 Charles Guillemet 对他所描述的 JavaScript 生态系统中发生的最严重的供应链攻击之一发出了警报。

分类帐发出紧急警告

周一，Ledger CTO Guillemet 在 X 上发布消息称，一个知名开源维护者的 npm 账户已被攻击，导致广泛使用的软件库出现恶意更新。

他写道，

“正在进行大规模供应链攻击……整个JavaScript生态系统可能处于风险之中。”

他强调，如果硬件钱包用户验证每笔交易，他们将保持安全，但建议其他所有人暂时停止进行区块链交易。

对广泛使用的软件包的恶意更新

该漏洞发生在9月8日，当时黑客获得了Josh Goldberg（被称为“Qix”）的npm账户的访问权限。攻击者发布了18个软件包的损坏版本，包括chalk、debug、strip-ansi和color-convert，这些软件包每周的下载量超过26亿，并嵌入了核心开发工具，如Babel和ESLint。

研究人员发现，注入的代码携带了旨在拦截浏览器功能的“加密剪贴板”恶意软件。该有效载荷将合法的钱包地址替换为攻击者控制的地址，并且在某些情况下，劫持钱包通信以在签名应用之前修改交易。该恶意软件是在构建错误后首次被检测到，暴露了隐藏的混淆代码。

复杂攻击策略

分析显示，该恶意软件采用了双重策略：被动地用相似地址替换钱包地址，同时主动拦截和更改基于浏览器的钱包（如MetaMask）上的交易。这种分层方法使攻击者能够无缝地重定向资金，通常用户并未意识到。

调查显示，此次泄露源于对npm维护者的网络钓鱼攻击。伪造的电子邮件假冒官方npm安全通知，指示收件人更新双因素身份验证，否则将面临账户暂停的风险。遵循链接的受害者被引导到一个假登录页面，使攻击者能够获取凭据并渗透到Goldberg的账户中。

一旦进入，攻击者分发了核心软件包的恶意版本，有效地将数百万依赖的软件工具武器化。安全公司 Aikido 指出，这段代码充当了浏览器拦截器，能够重写支付目的地、修改 API 调用，并篡改网站内容。

持续的影响和行业担忧

尽管npm已经移除了许多受损版本，但安全专家警告称，隐藏的传递依赖关系使得完全遏制攻击变得困难。开发者被敦促立即审计项目，锁定已知安全的包版本，并重建锁定文件。

这一事件突显了开源生态系统的脆弱性，该系统在维护者和开发者之间高度依赖信任。随着与被盗资金相关的钱包地址已在链上浮现，研究人员称此次攻击是JavaScript生态系统历史上最严重的攻击之一。

免责声明：本文仅供参考。并不提供或意图作为法律、税务、投资、财务或其他建议。