收款地址秒變駭客錢包！NPM 供應鏈攻擊滲透幣圈，Ledger 技術長曝「自保關鍵」

冷錢包大廠 Ledger 技術長 Charles Guillemet 周一 引述研究報告 示警，開源軟體生態近日爆發供應鏈攻擊，駭客在多個熱門 NPM 套件中植入惡意程式，並透過這些每周合計下載量超過 26 億次的開源工具，在用戶毫不察覺的情況下劫持加密貨幣交易。

報告指出，知名開源開發者 Josh Junon（qix） 因落入釣魚圈套，導致 Node Package Manager（NPM）帳號遭駭，而他所維護的多個 NPM 套件也因而被植入惡意程式，相關套件包括： chalk（每周下載量 2.9999 億次）、 debug（每周下載量 3.576 億次）和 ansi-styles（每周下載量 3.7141 億次）等。

根據 Charles Guillemet 的說法，這波攻擊的核心手法，是在用戶不知情的情況下，竄改加密貨幣交易中的收款地址，將資金直接發送到駭客控制的錢包。

🚨 There’s a large-scale supply chain attack in progress: the NPM account of a reputable developer has been compromised. The affected packages have already been downloaded over 1 billion times, meaning the entire JavaScript ecosystem may be at risk.

The malicious payload works…

— Charles Guillemet (@P3b7_) September 8, 2025

Charles Guillemet 解釋，NPM 是 JavaScript 生態中最廣泛使用的軟體套件託管平台，能讓開發者輕鬆整合程式功能。然而，一旦開發者帳號遭入侵，駭客就能輕鬆將惡意程式悄悄植入套件，影響範圍極廣。

他指出，惡意程式會攔截交易地址，將用戶輸入的收款地址替換成駭客的地址。換言之，任何去中心化應用（dApp）或軟體錢包，只要內含這些 JavaScript 套件，都有可能受波及，用戶資金隨時面臨遭竊風險。

至於如何因應，Charles Guillemet 建議最可靠的辦法，是使用具備安全螢幕、支援 Clear Signing 的冷錢包。他解釋，這讓用戶能在簽署前清楚檢視交易細節，確認實際收款地址是否正確，有效避免收款地址在「看不見」的情況下被偷天換日。

沒有安全螢幕的冷錢包，或任何不支援 Clear Signing 的錢包，都存在高度風險，因為用戶無法準確驗證交易資訊是否正確。

Charles Guillemet 最後呼籲，這起攻擊事件再次提醒所有用戶，永遠不要盲目簽署交易。

一定要驗證交易資訊、切勿盲簽，並使用帶有安全螢幕的硬體錢包，確保每一次簽署都是 Clear Sign 。

為確保資產安全，《區塊客》提醒讀者進行鏈上交易時，務必要注意：

• 轉帳前逐一核對收款人地址與金額，避免誤轉或遭竄改。
• 貼上錢包地址後再次確認，警惕惡意程式自動替換。
• 定期檢視近期交易紀錄，及早發現異常狀況。
• 大額交易建議優先使用冷錢包（硬體錢包），降低被盜風險。
• 若手邊沒有冷錢包，建議暫時避免進行鏈上交易，以免暴露於風險之中。