硬體錢包供應商Ledger的首席技術官Charles Guillemet發出公開警告,指出Node.js生態系統正遭受供應鏈攻擊。根據Guillemet在社交平台X上的發文,攻擊者取得了一位知名開發者的NPM(Node Package Manager)帳戶訪問權,並在廣泛使用的JavaScript套件中注入惡意代碼。受影響的套件下載量累計超過10億次,顯示對加密貨幣領域的開發者和終端用戶構成潛在嚴重威脅。
這些惡意負載旨在攔截並修改受影響庫中的交易數據,悄無聲息地將原本的錢包地址替換為攻擊者的地址。若應用程式未實施嚴格的鏈上地址驗證,此類修改將無法被發現。因此,透過受感染套件的去中心化應用或智能合約發送的資金可能被轉移至未授權帳戶,導致用戶遭受重大經濟損失。
Guillemet強調,對抗此類攻擊的唯一可靠防禦措施是使用配備安全顯示器與支持Clear Signing功能的硬體錢包。安全顯示器讓用戶在完成交易前能驗證收款地址與交易金額。缺乏此級別的驗證,下游的錢包軟體或去中心化應用仍易受到地址替換攻擊。
開源軟體供應鏈長期以來被視為潛在的安全薄弱點,尤其在關鍵基礎設施和金融應用中更為突出。此次對NPM的攻擊凸顯了現代開發流程的相互聯繫性,一個帳戶的安全漏洞即可導致廣泛的代碼污染。安全專家呼籲高風險套件的維護者落實多因素身份驗證、定期安全審查及自動完整性檢查,作為全面防護策略的一部分。
Ledger尚未公開受影響的具體套件及相關開發者,以避免惡意代碼擴散加速。Guillemet建議開發者審核其依賴項,監控網路請求是否存在異常地址替換行為,並使用密碼學工具驗證套件完整性。他同時呼籲更廣泛的開源社群及企業用戶共同合作,追蹤並修復受感染模組。
此事件緊隨多起高調的軟體開發供應鏈攻擊之後發生,包括流行生態系統中被植入木馬的依賴套件。此次攻擊提醒我們,安全措施必須超越直接針對應用程式的攻擊,涵蓋整個開發流程。組織應採用嚴格的安全控管措施,包括依賴項白名單、持續監控和應急響應計劃,以減少未來風險。
報導:Margaux Nijkerk;編輯:Nikhilesh De。
評論 (0)