BTC 牛市币股代币化股票山寨币稳定币 Robinhood AI Agent 空投监管 SEC 特朗普

NPM供应链攻击刷屏：发生了什么？如何规避风险？

Odaily 星球日报

原标题：一夜间「供应链攻击」刷屏：发生了什么？如何规避风险？

原作者：Azuma，Odaily 星球日报

北京时间 9 月 9 日，Ledger首席技术官 Charles Guillemet 于 X 发文预警表示：「目前正在发生一起大规模供应链攻击，一名知名开发者的 NPM 账号遭到入侵。受影响的软件包下载量已超过 10 亿次，这意味着整个 JavaScript 生态系统都可能面临风险。」

Guillemet 补充表示：「恶意代码的工作原理是在后台静默篡改加密货币地址，以此窃取资金。如果你使用硬件钱包，请仔细核对每一笔签名交易，你就是安全的。如果你没有使用硬件钱包，请暂时避免进行任何链上交易。目前尚不清楚攻击者是否已经在直接窃取软件钱包的助记词。」

发生了什么？

根据 Guillemet 所援引的安全报告内容，本次事件发生的直接原因在于：知名开发者 @qix 的 NPM 账户遭到入侵，导致数十个软件包被发布恶意版本，包括 chalk、strip-ansi 和 color-convert 等，恶意代码可能已经在开发者或用户自动安装依赖时扩散至终端。

Odaily 注：受损软件包的周下载量数据。

简而言之，这是一起经典的供应链攻击案例——即攻击者通过在开发工具或依赖系统中植入恶意代码（如 NPM 包）来进行作恶。所谓 NPM，全称为 Node Package Manager，它是 JavaScript/Node.js 生态里最常用的软件包管理工具，其主要作用包括管理依赖、安装和更新软件包、共享代码等等。

NPM 的生态规模极大，目前已有数百万个软件包，几乎所有 Web3 项目、加密钱包、前端工具都会依赖 NPM——也正是因为 NPM 依赖数量庞大且链路复杂，所以它是供应链攻击的高危入口，攻击者只要在一个常用软件包里植入恶意代码，就可能影响成千上万的应用和用户。

如上图的恶意代码扩散流程图所示：

· 某项目（蓝色框）会直接依赖一些常见的开源库，比如 express。

· 这些直接依赖（绿色框）又会依赖其他间接依赖（黄色框，如 lodash）。

· 如果某个间接依赖被攻击者偷偷植入了恶意代码（红色框），它会顺着依赖链条进入到该项目中。

这对加密货币意味着什么？

该起安全事件与加密货币行业的直接关系在于，黑客向上述受污染的软件包中植入的恶意代码是一个精密的「加密货币剪贴板劫持程序」，通过替换钱包地址和劫持交易来窃取加密资产。

Stress Capital 创始人 GE（@GuarEmperor）于 X 就此进行了更详细的解释，黑客所注入的"剪贴板劫持程序「采用了两种攻击模式——被动模式下使用「莱文斯坦距离算法（Levenshtein distance algorithm）」替换钱包地址，由于视觉上近似因此极难察觉；主动模式下则会在检测浏览器内的加密钱包，在用户签署交易前篡改目标地址。

由于本次攻击针对的是 JavaScript 项目基础层库，意味着即使间接依赖这些库的项目也可能受到影响。