受信任的 NPM 账户被劫持，传播恶意代码，危及加密货币交易和钱包 A...

黑客利用假网站盗取了一个受信任的npm账号，并在流行的包中传播有害代码。

如果使用了感染的JavaScript库，像MetaMask和Trust Wallet这样的加密钱包可能会面临风险。

用户应停止签署交易，并检查所有软件包，如果他们的应用程序最近通过 npm 更新。

一场重大的供应链攻击已使一个广泛信任的 npm JavaScript 账号受到损害。研究人员确认恶意代码已经感染了 18 个流行的包。这些包在过去一周内被下载超过 20 亿次。受影响的包中包含能够悄无声息地交换加密钱包地址的代码。

此攻击旨在在用户不知情的情况下转移交易。即使用户签署了看似正确的交易，资金仍可能流向攻击者。由于这些包的深度集成，JavaScript 生态系统面临风险。开发者被敦促立即审计并移除受影响的依赖项。

加密钱包和生态系统面临风险

该攻击影响了许多知名的浏览器和桌面钱包，例如：MetaMask、Trust Wallet 和 Exodus。硬件钱包仍然更安全，但是用户仍然必须仔细验证交易细节。攻击者使用类似的钱包地址在签名过程中欺骗用户。

只有逐字符的详细检查才能发现差异。大多数用户只检查钱包地址的前几个和最后几个字符。这使他们容易受到地址交换策略的攻击。如果自动脚本和智能合约依赖于被攻破的库，它们也面临风险。

入口点是一个被攻击的开发者账号

此次数据泄露始于攻击者控制了一名受信任的npm维护者的账号。研究人员认为这是通过钓鱼和虚假的双因素认证提示实现的。

最近，网络安全研究人员注意到黑客通过 NPM 包在以太坊智能合约中隐藏恶意软件，利用区块链 URL 来绕过扫描并传递第二阶段有效载荷。攻击者建立了虚假的 GitHub 仓库，伪造提交和多个账号以提高可信度。GitHub 用户报告了伪装成 npm 支持的可疑电子邮件。

攻击者使用了一个模仿真实 npm 网站的域名。这些邮件威胁要锁定账号，以迫使开发者点击钓鱼链接。一旦被攻破，账号就被用来更新多个带有恶意负载的软件包。一些软件包后来被修补，但其他软件包仍然不安全。

安全警告与开发者回应

安全团队和研究人员警告用户暂时避免链上活动。加密用户应禁用浏览器钱包并暂时停止签署交易。目前尚未报告重大损失，但风险仍然很高。

一些去中心化金融平台，包括 Axiom 和 Kamino，确认他们没有使用受感染的包。然而，开发者必须检查所有依赖项，尤其是那些与流行库如 Chalk 相关的。这种脆弱性在 2024 年也被注意到，当时黑客利用 Lottie Player Java Script，危及了 1inch 等受信任的去中心化金融网站上的钱包。

npm团队禁用了已知的被攻击版本，但最近的更新仍可能存在风险。攻击的完整规模仍然未知。如果更多开发者账号被使用类似的网络钓鱼策略攻击，威胁可能会扩大。