Ledger首席技术官查尔斯·吉列梅(Charles Guillemet)周一发出警告,称大量加密用户可能面临资金被盗的风险,此前他们发现了受损的JavaScript代码包。
NPM 是 JavaScript 的一个著名包管理器,而 Guillemet说X 上的警告称,一旦信誉良好的开发人员的帐户遭到入侵,整个编程语言的生态系统都可能变得脆弱,并可能将恶意负载传播到各个网站。
“该恶意载荷的工作原理是悄无声息地动态交换加密地址,从而窃取资金,”他说道,并补充说,受感染的软件包已被下载超过10亿次。Guillemet 补充道,“可能所有区块链”上的资金都可能受到该漏洞的攻击。
软件开发人员 Cygaar 同时表示:“我强烈建议现在不要签署任何加密交易。”警告并指出“各种加密网站”可能存在漏洞。
区块链安全公司 Blockaid在 X 上说该漏洞影响了大约二十几个流行的软件包,例如“color-name”和“color-string”。NPM 托管由其他人编写的可重用代码包,用户可以将其集成到自己的项目中。
Cygaar 解释道:“它将交易和批准的目标地址更改为攻击者的地址,而不是您实际尝试交互的地址。”
Cygaar 补充道,NPM 后来似乎禁用了受感染的软件包。不过,他鼓励开发人员仍然检查他们的依赖项,并指出他们可能在更改之前就下载了受感染的软件包。
情绪是回响由 Guillemet 在 X 上链接的一篇文章的作者撰写,该文章表示他们“正在积极与 NPM 安全团队合作解决该问题”,并且恶意代码已从大多数受影响的网页中删除。
作者表示,受影响的 NPM 帐户名为“qix”,恶意补丁影响了“JavaScript 中的一些最基本的实用程序”,这些实用程序是无数项目的基础。
观众注意到,恶意负载可以替换加密货币地址,但用户仍然需要在发送资金之前手动批准交易 - 这是一个让用户认识到他们的资金流向错误位置的窗口。
Loopscale 联合创始人兼首席运营官 Mary Gooneratne 表示,这种情况凸显了加密行业在某些方面仍然容易受到 Web2 世界和其他形式的开源软件的依赖。解密.
受到威胁的软件包只存在了几个小时,但“这仍然非常可怕”,她表示,并指出有措施可以防止 NPM 软件包自动升级。
“这对生态系统来说是一个很好的教训,”她说。“我认为这对每个人来说都是一个很好的机会,确保一切都得到清理。”
Gooneratne 表示,Solana 上的借贷协议 Loopscale 并未受到攻击。此外,自托管钱包 Phantom 也是周一被攻击的项目之一。说它没有受到供应链攻击的影响。
在 Github 上,与被盗 NPM 账户绑定的个人说他们已经联系了 NPM,该公司正在努力移除被盗用的软件包。他们表示,自己成了一封重置账户双因素身份验证邮件的受害者。
“是的,我被黑了,”他们写道。“非常抱歉,这太令人尴尬了。”
解密已联系 NPM 征求意见,但尚未立即收到回复。
编者注:此故事为突发新闻,将更新更多背景信息。