行业安全研究人员指出,黑客在此次影响JavaScript软件库的大规模供应链攻击中,仅窃取了价值50美元的加密货币。
据Security Alliance周一披露的调查结果,黑客攻破了一位知名软件开发者的NPM(Node Package Manager)账户,并向已被下载超过10亿次的热门JavaScript库植入恶意软件,令无数加密项目面临潜在风险。Security Alliance表示,此次攻击专门针对以太坊(ETH)和索拉纳(SOL)钱包。
该安全公司表示,目前加密领域窃取金额尚不足50美元,并确认以太坊钱包地址“0xFc4a48”是目前唯一已知的恶意地址。Security Alliance还在X平台补充道:
“设想一下:你攻陷了一位NPM开发者的账户,其软件包每周下载量超过20亿次。你将能够不受限制地接触数百万开发者的工作站。无数财富触手可及,世界尽在你手。但你的获利不足50美元。”
“黑客没有充分利用他们所拥有的访问权限。这就像找到Fort Knox的钥匙卡却用它做书签。恶意软件传播广泛,但目前几乎完全被中和,”化名为SEAL的安全研究员Samczsun在对Cointelegraph的单独评论中表示。
然而,50美元的数字从几小时前的五美分上调,这表明潜在的损害可能仍在发展。
少量被盗加密资产包括ETH与迷因币
Security Alliance表示,最初被盗的5美分为以太币(ETH),另外约20美元的迷因币(memecoin)也被窃取。
据Etherscan数据显示,该恶意地址已收到Brett(BRETT)、Andy(ANDY)、Dork Lord(DORK)、Ethervista(VISTA)和Gondola(GONDOLA)等迷因币。
未下载NPM的加密项目仍面临风险
此次攻击针对chalk、strip-ansi和color-convert等软件包——这些小型工具深藏在无数项目的依赖树中。即使开发者未直接安装这些包,也可能受到影响。
NPM相当于开发者的应用商店,是一个集中式库,供开发者分享和下载小型代码包以构建JavaScript项目。
攻击者疑似植入了一种名为crypto-clipper的恶意软件,该软件会在交易过程中悄然替换钱包地址,转移资金。
Ledger首席技术官Charles Guillemet与多位业内人士均呼吁加密用户在确认链上交易时务必谨慎。
Ledger在另一则帖子中表示,其设备未直接受到此次NPM攻击影响。
加密创始人称你不会立即被掏空
加密分析平台DeFiLlama的化名创始人0xngmi指出,只有在恶意NPM包发布后进行更新的加密项目才可能面临风险。而且,即便如此,用户还需主动批准恶意交易才会遭受损失。
他同Guillemet一样认为,在平台开发者清理恶意包之前,用户应避免访问相关加密网站以保障安全。