本站消息,9 月 9 日,Ledger 首席技术官 Charles Guillemet 发文更新称,「NPM 攻击最新进展:幸运的是,攻击未能得逞,几乎没有受害者。
攻击始于一个伪装成 npm 支持域名的钓鱼邮件,窃取用户凭证,使攻击者能够发布恶意软件包更新。注入的代码针对网络加密活动,侵入以太坊、Solana 等链,劫持交易,并直接在网络响应中替换钱包地址。攻击者的失误导致 CI/CD 流水线崩溃,从而实现早期检测,影响有限。
尽管如此,这是一个明确的提醒:如果你的资金存放在软件钱包或交易所,只需一次代码执行,你就可能失去一切。供应链攻击仍然是强大的恶意软件传播途径,我们也看到越来越多针对性的攻击出现。
硬件钱包专为抵御此类威胁而设计。像「清晰签名」这样的功能让你能够准确确认交易内容,而「交易检查」功能能在问题发生前标记可疑活动。眼前的危险可能已经过去,但威胁依然存在。保持安全。」
91币圈网 今日早些时候报道,目前正在发生一起大规模供应链攻击:一名知名开发者的 NPM 账号遭到入侵。受影响的包下载量已超过 10 亿次,这意味着整个 JavaScript 生态系统都可能面临风险。
