欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

當(dāng)前位置:主頁 > 區(qū)塊鏈 > 資訊 > NPM供應(yīng)鏈攻擊刷屏

NPM供應(yīng)鏈攻擊刷屏:發(fā)生了什么?如何規(guī)避風(fēng)險(xiǎn)?

2025-09-10 12:29:07 | 來源: | 作者:佚名
目前正在發(fā)生一起大規(guī)模供應(yīng)鏈攻擊,一名知名開發(fā)者的 NPM 賬號遭到入侵,惡意代碼的工作原理是在后臺(tái)靜默篡改加密貨幣地址,以此竊取資金,如果你使用硬件錢包,請仔細(xì)核對每一筆簽名交易

北京時(shí)間 9 月 9 日,Ledger 首席技術(shù)官 Charles Guillemet 于 X 發(fā)文預(yù)警表示:「目前正在發(fā)生一起大規(guī)模供應(yīng)鏈攻擊,一名知名開發(fā)者的 NPM 賬號遭到入侵。受影響的軟件包下載量已超過 10 億次,這意味著整個(gè) JavaScript 生態(tài)系統(tǒng)都可能面臨風(fēng)險(xiǎn)。」

Guillemet 補(bǔ)充表示:「惡意代碼的工作原理是在后臺(tái)靜默篡改加密貨幣地址,以此竊取資金。如果你使用硬件錢包,請仔細(xì)核對每一筆簽名交易,你就是安全的。如果你沒有使用硬件錢包,請暫時(shí)避免進(jìn)行任何鏈上交易。目前尚不清楚攻擊者是否已經(jīng)在直接竊取軟件錢包的助記詞?!?/p>

NPM供應(yīng)鏈攻擊刷屏:發(fā)生了什么?如何規(guī)避風(fēng)險(xiǎn)?

發(fā)生了什么?

根據(jù) Guillemet 所援引的安全報(bào)告內(nèi)容,本次事件發(fā)生的直接原因在于:知名開發(fā)者 @qix 的 NPM 賬戶遭到入侵,導(dǎo)致數(shù)十個(gè)軟件包被發(fā)布惡意版本,包括 chalk、strip-ansi 和 color-convert 等,惡意代碼可能已經(jīng)在開發(fā)者或用戶自動(dòng)安裝依賴時(shí)擴(kuò)散至終端。

Odaily 注:受損軟件包的周下載量數(shù)據(jù)。

簡而言之,這是一起經(jīng)典的供應(yīng)鏈攻擊案例——即攻擊者通過在開發(fā)工具或依賴系統(tǒng)中植入惡意代碼(如 NPM 包)來進(jìn)行作惡。所謂 NPM,全稱為 Node Package Manager,它是 JavaScript/Node.js 生態(tài)里最常用的軟件包管理工具,其主要作用包括管理依賴、安裝和更新軟件包、共享代碼等等。

NPM 的生態(tài)規(guī)模極大,目前已有數(shù)百萬個(gè)軟件包,幾乎所有 Web3 項(xiàng)目、加密錢包、前端工具都會(huì)依賴 NPM——也正是因?yàn)?NPM 依賴數(shù)量龐大且鏈路復(fù)雜,所以它是供應(yīng)鏈攻擊的高危入口,攻擊者只要在一個(gè)常用軟件包里植入惡意代碼,就可能影響成千上萬的應(yīng)用和用戶。

如上圖的惡意代碼擴(kuò)散流程圖所示:

· 某項(xiàng)目(藍(lán)色框)會(huì)直接依賴一些常見的開源庫,比如 express。

· 這些直接依賴(綠色框)又會(huì)依賴其他間接依賴(黃色框,如 lodash)。

· 如果某個(gè)間接依賴被攻擊者偷偷植入了惡意代碼(紅色框),它會(huì)順著依賴鏈條進(jìn)入到該項(xiàng)目中。

這對加密貨幣意味著什么?

該起安全事件與加密貨幣行業(yè)的直接關(guān)系在于,黑客向上述受污染的軟件包中植入的惡意代碼是一個(gè)精密的「加密貨幣剪貼板劫持程序」,通過替換錢包地址和劫持交易來竊取加密資產(chǎn)。

Stress Capital 創(chuàng)始人 GE(@GuarEmperor)于 X 就此進(jìn)行了更詳細(xì)的解釋,黑客所注入的"剪貼板劫持程序「采用了兩種攻擊模式——被動(dòng)模式下使用「萊文斯坦距離算法(Levenshtein distance algorithm)」替換錢包地址,由于視覺上近似因此極難察覺;主動(dòng)模式下則會(huì)在檢測瀏覽器內(nèi)的加密錢包,在用戶簽署交易前篡改目標(biāo)地址。

由于本次攻擊針對的是 JavaScript 項(xiàng)目基礎(chǔ)層庫,意味著即使間接依賴這些庫的項(xiàng)目也可能受到影響。

黑客獲利情況如何?

黑客所植入的惡意代碼也披露了其攻擊地址,黑客在以太坊上的主要攻擊地址為 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976,資金上則主要來源于以下三個(gè)地址:

· 0xa29eEfB3f21Dc8FA8bce065Db4f4354AA683c0240

· x40C351B989113646bc4e9Dfe66AE66D24fE6Da7B

· 0x30F895a2C66030795131FB66CBaD6a1f91461731

Arkham 方面已就本次攻擊事件制作了跟蹤頁面,在該頁面可實(shí)時(shí)查詢黑客攻擊獲利情況及轉(zhuǎn)移情況。

截至發(fā)文,黑客攻擊歲僅獲利 496 美元,但考慮到目前尚未確定惡意代碼的已擴(kuò)散范圍,預(yù)計(jì)該數(shù)據(jù)可能還會(huì)繼續(xù)上升——開發(fā)者本人現(xiàn)已收到通知,正在與 NPM 安全團(tuán)隊(duì)積極合作解決問題,惡意代碼目前已從大部分受影響的軟件包中移除,所以情況正在得到控制。

該如何規(guī)避風(fēng)險(xiǎn)?

Defillama 創(chuàng)始人 @0xngmi 于 X 表示,本次事件雖然聽起來很危險(xiǎn),但實(shí)際影響范圍實(shí)際并沒有那么夸張——因?yàn)楸臼录粫?huì)影響自被黑的 NPM 軟件包發(fā)布以來推送過更新的網(wǎng)站,其他項(xiàng)目仍將使用舊版本;且大多數(shù)項(xiàng)目都會(huì)固定它們的依賴關(guān)系,所以即使它們推送更新,仍會(huì)繼續(xù)使用舊的安全代碼。

不過,由于用戶側(cè)無法真正知道某個(gè)項(xiàng)目是否固定了依賴項(xiàng),或者它們是否有一些動(dòng)態(tài)下載的依賴項(xiàng),所以目前首先需要由項(xiàng)目方出面自檢并進(jìn)行披露。

截至發(fā)文,包括MetaMask、Phantom、Aave、Fluid、Jupiter 等多個(gè)錢包或應(yīng)用端項(xiàng)目方均已披露自身不受本次事件影響,故理論上用戶可放心使用已確認(rèn)安全的錢包正常訪問已確認(rèn)安全的協(xié)議,但對于其他尚未進(jìn)行安全披露的錢包或項(xiàng)目,暫時(shí)避免使用可能會(huì)是更安全的做法。

到此這篇關(guān)于NPM供應(yīng)鏈攻擊刷屏:發(fā)生了什么?如何規(guī)避風(fēng)險(xiǎn)?的文章就介紹到這了,更多相關(guān)NPM供應(yīng)鏈攻擊刷屏內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持腳本之家!

免責(zé)聲明:本文只為提供市場訊息,所有內(nèi)容及觀點(diǎn)僅供參考,不構(gòu)成投資建議,不代表本站觀點(diǎn)和立場。投資者應(yīng)自行決策與交易,對投資者交易形成的直接或間接損失,作者及本站將不承擔(dān)任何責(zé)任。!
Tag:NPM  

你可能感興趣的文章

更多

熱門幣種

  • 幣名
    最新價(jià)格
    24H漲幅
  • bitcoin BTC 比特幣

    BTC

    比特幣

    $ 112855.48¥ 803689.01
    -0.28%
  • ethereum ETH 以太坊

    ETH

    以太坊

    $ 4328.77¥ 30826.9
    -0.56%
  • ripple XRP 瑞波幣

    XRP

    瑞波幣

    $ 2.9776¥ 21.2046
    -1.64%
  • tether USDT 泰達(dá)幣

    USDT

    泰達(dá)幣

    $ 1¥ 7.1214
    +0.01%
  • binance-coin BNB 幣安幣

    BNB

    幣安幣

    $ 884.82¥ 6301.15
    +0.2%
  • solana SOL Solana

    SOL

    Solana

    $ 221.33¥ 1576.17
    +1.08%
  • usdc USDC USD Coin

    USDC

    USD Coin

    $ 0.9998¥ 7.1199
    +0%
  • dogecoin DOGE 狗狗幣

    DOGE

    狗狗幣

    $ 0.2412¥ 1.7176
    +0.25%
  • tron TRX 波場

    TRX

    波場

    $ 0.3364¥ 2.3956
    -0.36%
  • cardano ADA 艾達(dá)幣

    ADA

    艾達(dá)幣

    $ 0.8805¥ 6.2703
    -0.79%

幣圈快訊

  • 郭宏才最新推文顯示趙東現(xiàn)已出獄

    2025-09-10 16:32
    ChainCatcher消息,知名投資人郭宏才在推特發(fā)布推文稱,“東叔,好久不見”,并附上知名OTC從業(yè)者、人人比特創(chuàng)始人趙東的圖片。這意味著趙東現(xiàn)已出獄。 此前,趙東2020年6月被杭州警方帶走調(diào)查。最高檢發(fā)布通報(bào),2022年3月24日,判處趙某有期徒刑七年,并處罰金人民幣二百三十萬元。

  • 當(dāng)前排隊(duì)解除質(zhì)押的ETH暴增至209萬枚,再創(chuàng)歷史新高

    2025-09-10 16:26
    金色財(cái)經(jīng)報(bào)道,以太坊質(zhì)押追蹤網(wǎng)站ValidatorQueue數(shù)據(jù)顯示,當(dāng)前以太坊網(wǎng)絡(luò)排隊(duì)解除質(zhì)押的ETH數(shù)量暴增至2,093,577枚,提款延遲暫報(bào)36天8小時(shí)。與此同時(shí),當(dāng)前排隊(duì)進(jìn)入質(zhì)押的ETH數(shù)量暫報(bào)806,926枚,準(zhǔn)入隊(duì)列當(dāng)前排隊(duì)時(shí)長14天。

  • 數(shù)據(jù):監(jiān)測到5,960萬USDT轉(zhuǎn)入Binance

    2025-09-10 16:24
    ChainCatcher消息,據(jù)Coinglass數(shù)據(jù)顯示,9月10日16:23監(jiān)測到5,960萬USDT從未知錢包轉(zhuǎn)入Binance。

  • Kraken將代幣化股票平臺(tái)xStocks擴(kuò)展至歐盟投資者

    2025-09-10 16:15
    金色財(cái)經(jīng)報(bào)道,加密貨幣交易所Kraken已將其xStocks服務(wù)擴(kuò)展至歐盟,為該地區(qū)數(shù)百萬客戶提供鏈上美股投資渠道。此次擴(kuò)展使符合條件的歐洲投資者能夠通過Kraken應(yīng)用直接交易熱門美國股票和交易所交易基金(ETF)的代幣化版本。

  • 數(shù)據(jù):Ethena巨鯨再向幣安充值500萬枚ENA,累計(jì)向幣安充值3900萬枚

    2025-09-10 16:10
    ChainCatcher消息,據(jù)ai_9684xtpa監(jiān)測,曾于一年前收到Ethena項(xiàng)目方3.75億枚ENA的地址0x877...4bba6,在兩天內(nèi)再次向交易所充值500萬枚ENA,價(jià)值約410萬美元。 自8月29日以來,該地址累計(jì)向Binance充值3900萬枚ENA,總價(jià)值約2674萬美元,平均充值價(jià)格為0.6857美元,充值價(jià)格從0.64美元一路提升至0.82美元。
    • 查看更多