通过JavaScript软件包的供应链黑客攻击正在扩散…ENS等加密货币基础设施亦遭感染

针对JavaScript生态系统的供应链攻击正迅速蔓延至加密货币行业。近日网络安全公司Aikido Security披露，名为"沙虫"的恶意软件已感染至少数百个软件包，其中至少有10个与加密项目密切相关。

Aikido Security研究员查理·埃里克森于6日通过公司博客表示，已确认超过400个疑似感染软件包。他强调通过人工逐一验证感染情况，将误报率降至最低。

本次供应链攻击通过JavaScript包管理平台NPM注册表传播，属于自复制型恶意软件。由于潜伏在普通开发者毫无戒备下载使用的开源软件包中进行传播，感染速度与影响范围极快。特别是多个与加密货币社区相关的软件包受到影响，其中不少是周下载量达数万次的热门模块。

埃里克森当日还在X平台向以太坊域名服务发出感染风险警告。他指出ENS使用的部分软件包同样遭到感染。ENS作为提供基于以太坊的互联网地址服务的核心基础设施，被众多加密项目和NFT市场所采用。

供应链攻击不直接针对特定组织，而是通过向广泛使用的开发工具或库中植入恶意代码实现间接渗透。这种攻击方式难以检测且危害规模可能更大，安全行业始终对此保持高度警惕。鉴于本次事件中基于开源的加密货币项目大多使用第三方软件包，整个市场的紧张情绪正在升温。

加密货币开发者和企业预计将借此事件开展依赖外部软件包的安全性检查，并强化安全协议措施。截至目前具体损失规模尚未明确，但若涉及ENS等核心服务项目，其影响或将持续一段时间。

文章摘要由TokenPost.ai提供

🔎 市场解读

随着作为开放网络生态基石的开源技术成为黑客攻击源头，去中心化技术的脆弱性再次凸显。若智能合约或钱包后端等广泛使用的软件包遭感染，可能对用户资产保护构成重大威胁。

💡 战略要点

• 检查各项目依赖包清单并加强人工验证流程

• 使用含新代码的外部库时需增加安全程序

• 需对ENS等重要基础设施开展集中漏洞诊断

📘 术语解释

供应链攻击：通过攻击目标所需的软件或服务而非直接攻击最终目标来实现间接渗透的网络攻击技术

NPM：JavaScript生态广泛使用的软件包管理系统，多数基于网络的加密项目均采用该体系

ENS：将以太坊钱包复杂地址转换为可读域名形式的系统

TP AI注意事项

本文采用TokenPost.ai语言模型进行文章摘要生成，可能存在遗漏主要内容或与事实不符的情况。