NPM供應鏈攻擊是一場大規模入侵,針對知名JavaScript套件,能在交易過程中悄悄更換加密貨幣地址並竊取資金。用戶應避免簽署交易,審核整合的套件,並立即更新或移除受影響的模組以降低風險。
-
網頁錢包中的惡意地址替換針對加密貨幣交易。
-
受影響的套件包括廣泛使用的NPM模組,如“color-name”和“color-string”。
-
受影響套件的下載次數超過10億次,增加了跨鏈風險暴露。
NPM供應鏈攻擊:立即停止簽署交易——驗證套件並確保錢包安全。了解立即保護的步驟。
什麼是NPM供應鏈攻擊?
NPM供應鏈攻擊是針對知名開發者帳號的入侵,將惡意載荷注入JavaScript套件。該載荷可在基於網頁的錢包和dApp中悄悄更換加密貨幣地址,導致多條鏈上的資金面臨風險。
JavaScript套件是如何被入侵的?
安全研究人員和業界專家報告稱,NPM上一個知名開發者帳號遭到入侵,攻擊者因此能發布被污染的更新。這段惡意程式碼專為在加密貨幣網站所用的瀏覽器環境中運行設計,能在交易時更改目標地址。
哪些套件和組件受到影響?
區塊鏈安全公司已識別出約二十多個受影響的熱門NPM套件,包括像“color-name”和“color-string”這類小型工具模組。由於NPM是JavaScript的核心套件管理器,許多網站和前端專案會間接引用這些依賴。
| color-name | 數億次 | 高 |
| color-string | 數億次 | 高 |
| 其他工具模組(合計) | 超過10億次 | 嚴重 |
加密貨幣用戶現在如何保護資金?
立即措施:停止在網頁錢包上簽署交易,將瀏覽器錢包與dApp斷開連接,避免與依賴未驗證JavaScript的網站互動。在開發環境中驗證套件完整性,並在你控制的網站上實施嚴格的內容安全政策(CSP)規則。
開發者應採取哪些預防措施?
開發者必須鎖定依賴版本,盡可能驗證套件簽名,運行供應鏈掃描工具,並審核近期套件更新。回退至已知安全版本並從lockfile重建可降低風險。對關鍵前端庫使用可重現構建和獨立驗證。
常見問題
這一威脅對普通加密貨幣用戶有多緊急?
對於與基於網頁的錢包或dApp互動的用戶而言,威脅是立即的。如果網站依賴受污染的模組,地址替換程式碼可在交易流程中於瀏覽器執行。
是誰發現了這次入侵,他們怎麼說?
Ledger CTO Charles Guillemet公開指出了這一問題,並說明了地址替換的規模與機制。區塊鏈安全公司也報告了受影響的模組。這些觀察來自業界專家的公開貼文和安全公告。
重點摘要
- 停止簽署交易:在套件驗證前,避免在網頁錢包簽署交易。
- 審核依賴:開發者必須鎖定、簽名並掃描前端代碼中使用的NPM套件。
- 採取防禦措施:斷開錢包連接、清除會話,並使用CSP及供應鏈掃描工具。
結論
NPM供應鏈攻擊顯示,小型工具套件也能通過悄悄替換地址,對加密貨幣用戶構成系統性風險。保持防禦姿態:停止簽署交易,審核依賴,並遵循已驗證的安全公告。COINOTAG將隨著更多確認的技術細節和修復措施發布,持續更新本報告(發布於2025-09-08)。
