史上最大供應鏈攻擊針對加密貨幣用戶，通過被入侵的JavaScript套件發動

一場新的網絡攻擊正在悄悄針對用戶在交易過程中的加密貨幣，安全研究人員稱這是歷史上最大規模的供應鏈攻擊事件。

BleepingComputer報導，駭客通過釣魚郵件入侵了NPM套件維護者帳戶，並注入了竊取加密貨幣的惡意軟體。

這次攻擊針對JavaScript開發者，發送偽裝成來自“support@npmjs.help”的詐騙郵件，該域名模仿了合法的NPM註冊中心。

釣魚郵件警告維護者，如果不通過惡意連結更新雙重身份驗證憑證，他們的帳戶將於9月10日被鎖定。

攻擊者成功入侵了18個廣泛使用的JavaScript套件，這些套件每週總下載量超過26億次。

被入侵的函式庫包括“chalk”（每週3億次下載）、“debug”（3.58億次）、以及“ansi-styles”（3.71億次）等基礎開發工具，幾乎影響了整個JavaScript生態系統。

針對加密貨幣

惡意程式碼作為瀏覽器端攔截器運作，監控Ethereum、Bitcoin、Solana、Tron、Litecoin和Bitcoin Cash等網路上的加密貨幣交易網路流量。

當用戶發起加密貨幣轉帳時，惡意軟體會在交易簽署前，悄悄將目標錢包地址替換為攻擊者控制的帳戶。

Aikido Security研究員Charlie Eriksen解釋：

「其危險之處在於它能在多個層面運作：更改網站上顯示的內容、竄改API調用，以及操控用戶應用程式認為他們正在簽署的內容。」

Ledger CTO Charles Guillemet警告加密貨幣用戶注意持續的威脅，並指出鑑於巨大的下載量，JavaScript生態系統可能已被攻陷。

硬體錢包用戶只要在簽署前驗證交易細節仍可受到保護，而軟體錢包用戶則面臨更高風險。Guillemet建議：

「如果你沒有使用硬體錢包，暫時不要進行任何鏈上交易。」

他同時指出，目前尚不確定攻擊者是否能直接從軟體錢包中提取助記詞。

高級定向攻擊

這次攻擊屬於高級供應鏈定向攻擊，犯罪分子入侵受信任的開發基礎設施，以觸及最終用戶。

通過滲透每週被下載數十億次的套件，攻擊者獲得了前所未有的加密貨幣應用程式和錢包介面存取權限。

BleepingComputer發現釣魚基礎設施將憑證外洩至“websocket-api2.publicvm.com”，顯示出這次行動的協調性。

這起事件延續了2025年以來多起JavaScript函式庫被入侵的情況，包括7月針對“eslint-config-prettier”的攻擊（每週3,000萬次下載），以及3月影響十個熱門NPM函式庫的入侵事件。

本文最早發佈於CryptoSlate，標題為「Largest supply chain attack in history targets crypto users through compromised JavaScript packages」。