JavaScript生态系统遭大规模供应链攻击，Ledger CTO警告用户避免链上交易

近期，JavaScript生态系统遭遇了一场大规模的供应链攻击。攻击者通过入侵知名开源维护者Josh Goldberg的npm账户，向“chalk”、“debug”等18个广泛使用的软件包植入了恶意更新。这些工具每周下载量高达26亿次，深度嵌入了包括Babel、ESLint在内的众多项目依赖树中，影响范围极广。

安全研究人员发现，更新后的软件包包含“加密货币剪切器”恶意软件。该软件能够拦截浏览器功能，将合法的加密货币钱包地址替换为攻击者控制的地址，甚至主动篡改待签名的交易，从而将用户资金重定向。攻击者通过钓鱼邮件诱骗维护者更新双因素认证凭据，进而控制其npm账户，最终将恶意代码推送到数百万应用程序中。

Ledger首席技术官Charles Guillemet将此次事件定性为“大规模供应链攻击”，并强调使用硬件钱包的用户在签名交易时需保持警惕，而未配备硬件钱包的用户应暂停所有链上操作。此次事件暴露了开源生态系统的脆弱性，也凸显了在快速发展的加密领域，安全防护措施面临的严峻挑战。

查看消息来源