loading...
Ledger首席技术官查尔斯·吉列梅近日发出严重警告,指出部分JavaScript代码包已被植入恶意载荷,可能在用户不知情的情况下篡改加密货币地址,导致资金被盗。
NPM作为全球最主流的JavaScript包管理平台,其生态系统一旦被攻破,将引发连锁反应。吉列梅在社交平台X上表示,攻击者通过入侵信誉良好的开发者账户,向公开发布的代码包中注入恶意脚本,从而实现远程操控。
该恶意载荷的核心特征是能够在用户发起交易时,悄无声息地替换目标收款地址。例如,当用户准备向自己的钱包地址转账时,系统可能自动将其更改为攻击者控制的地址。这种行为完全隐藏在前端界面之下,极难察觉。
据初步统计,受影响的代码包已被下载超过10亿次,涵盖大量Web3应用、钱包服务和去中心化平台。这意味着几乎所有使用JavaScript构建的区块链前端都可能面临风险,尤其对依赖外部库的Layer2解决方案构成威胁。
软件开发人员Cygaar提醒广大用户,切勿随意签署未验证的加密交易请求。他强调,当前许多网站存在输入验证缺陷,攻击者可利用这些漏洞诱导用户授权非法转账。
此次事件引发市场对加密资产安全性的重新评估。分析师指出,尽管尚未出现大规模资金损失报告,但潜在风险已足以触发“价格显著波动”预警。随着更多项目方开始审查第三方依赖,行业或将加速推进代码审计与可信供应链建设。
目前,NPM官方已启动应急响应流程,排查并下架可疑包。同时,多家钱包服务商正在更新前端防护机制,以应对此类动态劫持攻击。未来,强化前端安全验证与引入零知识证明等技术,或将成为保障用户资产安全的关键方向。
479
886
211
430
216
336
947
904
606
444
