据深潮TechFlow报道,9月9日,Ledger首席技术官Charles Guillemet表示,NPM攻击事件未能得逞,几乎未造成受害者损失。攻击者通过虚假npm支持域名的钓鱼邮件窃取用户凭证,发布恶意软件包更新。注入代码针对网页加密活动,侵入以太坊、Solana等区块链网络劫持交易,并替换钱包地址。由于攻击者操作失误,CI/CD流程崩溃,攻击被提前发现,影响范围有限。
不过,这仍是明确警示:若资金存放在软件钱包或交易所,仅需一次代码执行就可能损失全部资金。供应链安全漏洞仍是传播恶意软件的重要途径,针对性攻击日益增多。虽然当前危险已过,但威胁仍在,务必保持警惕,确保安全。此前消息,开发者qix遭钓鱼攻击,多个热门npm包被植入恶意代码。