一夜之間，“供應鏈攻擊”佔據了頭條新聞：發生了什麼？我們如何降低風險？

一家知名開發者的NPM帳號被黑客攻擊，惡意版本的包如chalk和color-convert被釋放，下載次數達到數十億次——引發了巨大的供應鏈風險。

攻擊者嵌入了一個剪貼板劫持程序，該程序使用近乎相同的視覺效果替換加密錢包地址 (，通過 Levenshtein 距離 ) 或主動覆蓋瀏覽器檢測到的地址以攔截交易。

雖然黑客獲得的總額僅約爲 ~$496，但大多數受影響的軟件包已經修復或刪除；主要的錢包(，例如MetaMask、Phantom)確認未受影響，但仍需保持警惕。

一場重大的NPM供應鏈攻擊已經危及到廣泛使用的JavaScript包——下載超過10億次——這些包注入了加密地址劫持者，悄悄竊取資金。以下是發生的事情以及如何保護自己。

在北京時間9月9日，Ledger的首席技術官Charles Guillemet在X上發布了警告：“目前正在進行大規模供應鏈攻擊，一位知名開發者的NPM帳號已被攻陷。受影響的包已被下載超過10億次，這意味着整個JavaScript生態系統可能面臨風險。”

Guillemet補充道：“惡意代碼通過在後臺悄悄篡改加密貨幣地址來竊取資金。如果您使用硬體錢包，請仔細檢查每一筆籤名交易，您將會安全。如果您不使用硬體錢包，請暫時避免進行任何鏈上交易。目前尚不清楚攻擊者是否直接竊取軟體錢包的助記詞。”

發生了什麼？

根據Guillemet引用的安全報告，此事件的直接原因是著名開發者@qix的NPM帳號被黑客攻擊，導致數十個軟件包的惡意版本發布，包括chalk、strip-ansi和color-convert。惡意代碼可能在開發者或用戶自動安裝依賴時傳播到終端。

Odaily Note: 被泄露軟件包的每週下載數據。

簡而言之，這是一個供應鏈攻擊的經典案例——攻擊者在開發工具或依賴系統中插入惡意代碼(，例如NPM包)。NPM，即Node包管理器，是JavaScript/Node.js生態系統中最常用的包管理工具。它的主要功能包括管理依賴、安裝和更新包，以及共享代碼。

NPM的生態系統非常龐大，目前有數百萬個軟件包可用。幾乎所有的Web3項目、加密錢包和前端工具都依賴於NPM。正是因爲NPM依賴於大量的依賴項和復雜的連結，它成爲供應鏈攻擊的高風險切入點。只要攻擊者在一個常用的軟件包中植入惡意代碼，就可能影響數千個應用程序和用戶。

如上圖所示的惡意代碼擴散流程圖：

某個項目 (blue box) 將直接依賴一些常見的開源庫，例如 express。

這些直接依賴 (綠色框) 反過來又依賴於其他間接依賴 (黃色框，例如 lodash)。

如果一個間接依賴被攻擊者祕密植入惡意代碼(紅盒)，它將沿着依賴鏈進入項目。

這對加密貨幣意味着什麼？

此次安全事件與加密貨幣行業的直接相關性在於，黑客植入上述被污染軟件包的惡意代碼是一種復雜的“加密貨幣剪貼板劫持器”，通過替換錢包地址和劫持交易來竊取加密資產。

Stress Capital 創始人 GE (@GuarEmperor) 在 X 上對此進行了更詳細的解釋。黑客注入的 “剪貼板劫持者” 使用兩種攻擊模式：被動模式使用 “萊文斯坦距離算法” 替換錢包地址，由於其視覺相似性，極難被檢測到；主動模式則在瀏覽器中檢測加密錢包，並在用戶簽署交易之前篡改目標地址。

由於此次攻擊針對的是JavaScript項目的基礎層庫，甚至間接依賴這些庫的項目也可能受到影響。

黑客能賺多少錢？

黑客植入的惡意代碼還披露了其攻擊地址。黑客在以太坊上的主要攻擊地址是0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976，資金主要來自以下三個地址：

0xa29eEfB3f21Dc8FA8bce065Db4f4354AA683c0240

x40C351B989113646bc4e9Dfe66AE66D24fE6Da7B

0x30F895a2C66030795131FB66CBaD6a1f91461731

Arkham 創建了一個跟蹤頁面，用於此攻擊，用戶可以實時查看黑客的利潤和轉帳狀態。

截至本帖發布時，黑客僅從此次攻擊中獲利496美元，但考慮到惡意代碼的傳播範圍尚未確定，預計這一數字可能會繼續上升。開發者已被通知，並正與NPM安全團隊積極合作以解決此問題。惡意代碼已從大多數受影響的包中移除，因此情況已得到控制。

如何避免風險？

Defillama 創始人 @0xngmi Yu X 表示，盡管這起事件聽起來很危險，但實際影響並沒有那麼誇張——因爲此次事件只會影響自被黑客攻擊的 NPM 包發布以來推送更新的網站，其他項目仍將使用舊版本；而且大多數項目會修復它們的依賴關係，因此即使他們推送更新，也將繼續使用舊的安全代碼。

然而，由於用戶無法真正知道一個項目是否具有固定依賴關係或是否有一些動態下載的依賴關係，因此項目方目前需要進行自查並首先進行披露。

截至本帖發布時，包括MetaMask、Phantom、Aave、Fluid和Jupiter在內的多個錢包或應用項目已披露他們未受此事件影響。因此，理論上，用戶可以安全地使用已確認安全的錢包訪問已確認安全的協議。然而，對於尚未公布安全信息的其他錢包或項目，暫時避免使用它們可能更安全。

〈一夜之間，“供應鏈攻擊”佔據頭條：發生了什麼？我們該如何緩解風險呢？〉篇文章最早發佈於《CoinRank》。