一场重大网络攻击震动了全球软件生态系统,数百万加密货币用户面临风险。黑客劫持了 npm 上一位知名开发者的账户,该平台支撑着大量网络应用,并在广泛使用的代码库中植入了恶意更新。
这些代码库深藏于无数应用程序和网站中,每周下载量超过 10 亿次。如此规模使得此次事件成为有史以来最大的软件供应链安全漏洞之一。
新型恶意软件瞄准加密交易这段恶意代码专门针对加密货币交易,主要通过两种方式运作。
首先,如果未检测到钱包,该恶意软件会在网站中寻找加密地址,并将其替换为攻击者控制的地址。
它使用巧妙的手段将地址替换为外观几乎相同的地址,使用户很容易忽略这一变化。
其次,如果检测到像 MetaMask 这样的钱包,代码会主动更改交易。
当用户准备发送资金时,恶意软件会拦截数据并将接收地址替换为攻击者的地址。如果用户在未仔细核对的情况下签署交易,资金将不翼而飞。
加密用户面临风险此次攻击始于开发者Qix的 npm 账户被攻破。黑客随后发布了数十个其软件包的新版本,包括上述核心工具。
开发者在更新项目时自动引入了这些被污染的版本。任何部署这些版本的网站或去中心化应用都可能在不知情的情况下暴露其用户。
这一漏洞是在构建错误引起对更新包中奇怪且难以阅读的代码的注意后才被发现的。
安全专家随后发现,这是一种复杂的“加密剪贴板劫持器”,旨在悄无声息地重定向资金。
对于通过网络浏览器进行交易的用户来说,这一威胁尤为严重。如果你从网站复制了一个地址,或者在未核对的情况下签署了转账,你可能面临风险。
Ledger 的首席技术官在社交媒体上发出了严厉警告。
专家建议所有加密货币持有者采取以下紧急措施:
- 核实地址:在签署交易前,务必在钱包的确认屏幕或硬件设备上仔细核对完整地址。
- 不确定时暂停操作:如果您使用基于浏览器或软件的钱包,建议在情况明朗前暂停交易。
- 检查近期活动:查看过去的转账和授权记录。如果发现任何可疑之处,撤销授权并将资金转移到新钱包。
- 使用测试交易:向新地址发送资金时,先转账小额资金以确认安全到达。
- 依赖硬件钱包:显示交易详情的独立屏幕设备仍是最安全的选择。
此次攻击显示了开源软件生态系统中信任的脆弱性。一个被攻破的开发者账户就能让黑客将危险代码推送到数十亿次下载中。
这一事件仍在发展中。恶意版本正在被移除,但可能会在网上保留数天或数周。最安全的做法是保持警惕。
如果您使用加密货币,请仔细检查每笔交易。多看一眼钱包上的地址,可能就是安全与被盗之间的区别。
