新的NPM供應鏈黑客攻擊威脅ENS和加密貨幣安全

主要供應鏈攻擊瞄準與加密貨幣相關的軟件包

一場重大的JavaScript供應鏈攻擊已影響超過400個軟件包，其中至少有10個在加密貨幣生態系統中被廣泛使用。該漏洞是由網路安全公司Aikido Security發現的，突顯了開發者和用戶面臨的不斷演變的威脅形勢。

在一篇詳細的博客文章中，研究員Charlie Eriksen概述了感染的範圍，確定了感染了“Shai Hulud”惡意軟件的包——一種旨在在開發者環境中傳播的自主自我復制菌株。Eriksen確認了每個檢測的有效性，以防止誤報。這些包中的許多負責關鍵功能，其中一些每週下載量達到數萬次，強調了廣泛的潛在影響。

特別關注的是與以太坊名稱服務(ENS)相關的受影響包，這些包促進了人類可讀的區塊鏈地址。值得注意的是ENS的內容哈希，周下載量接近36,000，以及地址編碼器，周下載量超過37,500。其他ENS包，如ensjs、ens-validation、ethereum-ens和ens-contracts也受到影響。一個與ENS無關的單獨包crypto-addr-codec，周下載量接近35,000，也受到影響。

來源：查理·埃裏克森

這一事件是供應鏈攻擊的一個更廣泛趨勢的一部分。在九月份，迄今爲止最大的NPM攻擊導致約$50 百萬加密貨幣資產被盜。亞馬遜網路服務強調，這一事件之後，Shai-Hulud蟲傳播開來，在初始侵入後在各個環境中自我復制。

與之前的針對性盜竊不同，Shai Hulud主要作爲憑證竊取者，自主傳播並收集感染環境中存儲的錢包密鑰和其他祕密。如果這些祕密存儲不安全，這種能力對區塊鏈資產的安全構成重大威脅。

受影響包的範圍

在受影響的包中，至少有10個與加密貨幣功能直接相關，主要與ENS生態系統相關。像content-hash這樣的包，每週下載量接近36,000，而address-encoder的下載量超過37,500，是開發人員用於處理地址和名稱解析的關鍵組件。其他受影響的關鍵包包括ensjs、ens-validation、ethereum-ens和ens-contracts。

除了加密貨幣，還有幾個非加密貨幣軟件包受到影響，包括來自 Zapier 的熱門工具，如 @zapier/secret-scrubber，每週下載量超過 40,000 次。Eriksen 警告說，受影響的軟件包下載量很高，有些接近每週 70,000 次，突顯了惡意軟件的廣泛影響。

Wiz的研究人員估計，超過25,000個代碼庫受到影響，涉及數百名用戶，每30分鍾就會增加新的受損代碼庫。網路安全界呼籲對任何使用npm包的環境進行立即調查和補救措施。

本文最初發布於《新的 NPM 供應鏈黑客威脅 ENS 和加密貨幣安全》，來自加密貨幣快訊——您可信賴的加密新聞、比特幣新聞和區塊鏈更新來源。