JavaScript生态系统面临严峻挑战：大规模供应链攻击暴露开源软件安全隐患

近期，一场大规模的供应链安全事件波及了加密货币行业。攻击者通过钓鱼邮件，诱骗开发者Josh Junon（“qix”）泄露了其NPM账户凭证，并成功植入了恶意软件到其开发的JavaScript软件包中。该软件包的下载量已超过十亿次，意味着整个JavaScript生态系统，尤其是依赖该库的加密货币应用，面临潜在风险。

此次攻击的核心在于恶意代码能够实时替换交易中的收款地址，从而在用户不知情的情况下窃取加密货币。Ledger首席技术官Charles Guillemet已发出紧急警告，呼吁用户暂停链上交易，因为攻击的规模可能威胁到整个生态系统。此次事件暴露了开源软件供应链在安全防护上的巨大漏洞，单个被攻破的开发者账户足以引发全球性连锁反应。

尽管Uniswap、MetaMask等多家知名加密公司已确认未受此次攻击影响，且攻击者尚未成功转移被盗资金，但恶意代码在NPM安全团队介入前已存在约两小时。这期间，部分应用可能已集成了受感染的版本。该事件再次引发了对支撑加密经济的开源基础设施韧性的质疑，并强调了加强开发者账户安全措施和供应链审计的紧迫性。

查看消息来源