一場大規模NPM供應鏈攻擊席捲JavaScript生態系統,對加密錢包構成嚴重威脅。攻擊者入侵知名開發者賬戶,向每週下載超26億次的常用軟件包注入惡意代碼。
攻擊者成功入侵"qix"和"DuckDB"開發者賬戶,向chalk、debug-js、ansi-styles等基礎軟件包發佈惡意更新。這些包因基礎功能被廣泛依賴,惡意代碼在極短時間內分發到海量環境。
惡意軟件核心功能是竊取加密貨幣,通過侵入網頁加密活動實時監控交易。當用戶進行以太坊或Solana轉賬時,自動將收款地址替換爲攻擊者地址。如果用戶未仔細覈對簽名地址,就可能不知不覺將資金髮送給黑客。
影響範圍理論上災難性,直接威脅MetaMask、Trust Wallet、Phantom等主流錢包用戶。幸運的是攻擊者操作失誤導致CI/CD流程崩潰,提前暴露攻擊行爲。
及時發現使社區迅速響應,限制進一步擴散。最終儘管波及範圍巨大,但攻擊者實際竊取微乎其微,僅收到約0.05美元以太幣和20美元非流動性代幣。
