供应链攻击波及加密领域：10亿次下载遭污染，如何应对风险？

北京时间9月9日，Ledger首席技术官Charles Guillemet在社交媒体X上发出预警：一场大规模供应链攻击正在发生，一名知名开发者的NPM账户遭到入侵。受影响的软件包下载量已突破10亿次，可能对整个JavaScript生态系统构成严重威胁。 Guillemet指出，恶意代码会静默篡改加密货币地址，从而实现资金盗取。他建议使用硬件钱包的用户务必逐笔核对交易签名；若未使用硬件钱包，则应暂时避免链上操作。目前尚无法确认攻击者是否已开始窃取软件钱包助记词。

事件背景

根据安全报告，此次攻击源于知名开发者@qix的NPM账户被攻破，导致chalk、strip-ansi、color-convert等多个常用软件包被植入恶意代码并发布新版本。这些包通过自动依赖安装机制扩散至各类项目中，形成广泛传播路径。 NPM是JavaScript生态的核心工具，管理着数百万个包，几乎所有Web3应用、钱包和前端工具都依赖其依赖链。一旦某个基础库被污染，将沿依赖链条影响成千上万的应用程序，构成典型供应链攻击。

对加密行业的直接影响

攻击者在受污染包中嵌入了“加密货币剪贴板劫持程序”，可自动替换钱包地址或篡改交易目标。Stress Capital创始人GE解释称，该程序采用两种模式：被动模式利用莱文斯坦距离算法生成视觉相似地址，难以察觉；主动模式则在用户签名前直接修改目标地址。 由于攻击针对的是底层公共库，即使间接依赖也可能中招，使得风险覆盖范围远超预期。

黑客获利与资金追踪

恶意代码暴露了攻击者地址，主要为以太坊上的0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976。资金来源包括三个地址，合计已转移约496美元。Arkham已建立实时追踪页面，供用户查看资金动向。 尽管当前获利有限，但由于恶意代码传播路径尚未完全厘清，实际损失可能进一步上升。目前，开发者已通知并配合NPM安全团队移除多数恶意版本，形势正逐步可控。

如何规避风险？

Defillama创始人@0xngmi表示，虽然事件令人担忧，但实际影响面并不如表面所示广泛。因为只有在项目更新时主动拉取新版本的依赖才会受感染，而大多数项目会锁定依赖版本，继续使用已验证的安全代码。 然而，用户无法判断具体项目是否启用动态依赖更新，因此关键在于项目方自检并公开声明安全性。截至目前，MetaMask、Phantom、Aave、Fluid、Jupiter等主流钱包和协议均已确认未受影响，用户可安心使用。 对于尚未公布安全状态的项目，建议暂停使用，直至官方明确回应。同时，建议所有用户加强资产存储安全意识，定期检查依赖项更新记录，提升整体生态防御能力。