收款地址秒变黑客钱包！NPM供应链攻击渗透币圈

冷钱包大厂Ledger 技术长Charles Guillemet 周一引述研究报告示警，开源软件生态近日爆发供应链攻击，黑客在多个热门NPM 套件中植入恶意程序，并透过这些每周合计下载量超过26 亿次的开源工具，在用户毫不察觉的情况下劫持加密货币交易。

报告指出，知名开源开发者Josh Junon（qix）因落入钓鱼圈套，导致Node Package Manager（NPM）帐号遭黑，而他所维护的多个NPM 套件也因而被植入恶意程式，相关套件包括：chalk（每周下载量2.9999 亿次）、 debug（每周下载量3.576 亿次）和ansi-styles（每周下载量3.7141 亿次）等。

根据Charles Guillemet 的说法，这波攻击的核心手法，是在用户不知情的情况下，窜改加密货币交易中的收款地址，将资金直接发送到黑客控制的钱包。

Charles Guillemet 解释，NPM 是JavaScript 生态中最广泛使用的软件套件托管平台，能让开发者轻松整合程式功能。然而，一旦开发者帐号遭入侵，黑客就能轻松将恶意程式悄悄植入套件，影响范围极广。

他指出，恶意程式会拦截交易地址，将用户输入的收款地址替换成黑客的地址。换言之，任何去中心化应用（dApp）或软件钱包，只要内含这些JavaScript 套件，都有可能受波及，用户资金随时面临遭窃风险。

至于如何因应，Charles Guillemet 建议最可靠的办法，是使用具备安全萤幕、支援Clear Signing 的冷钱包。他解释，这让用户能在签署前清楚检视交易细节，确认实际收款地址是否正确，有效避免收款地址在「看不见」的情况下被偷天换日。

没有安全屏幕的冷钱包，或任何不支援Clear Signing 的钱包，都存在高度风险，因为用户无法准确验证交易资讯是否正确。

Charles Guillemet 最后呼吁，这起攻击事件再次提醒所有用户，永远不要盲目签署交易。

一定要验证交易资讯、切勿盲签，并使用带有安全萤幕的硬体钱包，确保每一次签署都是Clear Sign 。

为确保资产安全，小编提醒读者进行链上交易时，务必要注意：

• 转帐前逐一核对收款人地址与金额，避免误转或遭窜改。
• 贴上钱包地址后再次确认，警惕恶意程式自动替换。
• 定期检视近期交易纪录，及早发现异常状况。
• 大额交易建议优先使用冷钱包（硬体钱包），降低被盗风险。
• 若手边没有冷钱包，建议暂时避免进行链上交易，以免暴露于风险之中。

Tags：

转载请注明出处：https://www.eoje.cn/qb/9938.html