loading...
近日,一名身份不明的黑客通过入侵知名JavaScript开发者“qix”的npm账户,发动了一场可能是有史以来最大规模的软件供应链攻击。然而,尽管攻击波及范围极广,实际获利却微乎其微,甚至不及部分memecoin的单日交易量。
9月8日,黑客成功获取权限后,在数十种广泛使用的构建工具中植入恶意代码。这些工具每周下载量超过20亿次,覆盖大量网站与应用程序。由于开发依赖项通常自动更新且无需人工审查,恶意版本迅速传播,引发广泛担忧。
该恶意代码并非传统病毒,而是设计用于从用户浏览器中的加密钱包中提取资金。它通过篡改网络请求中的地址,诱导用户向攻击者钱包转账,进一步扩大危害面。
合规与威胁管理平台Nominis创始人兼首席执行官Snir Levi指出,现代软件生态高度互联,一个被攻陷的npm账户可在几分钟内影响数千项目和企业。他强调:“代码重用是整个生态系统的支柱,但这也意味着信任链一旦断裂,后果可能蔓延至全球。”
以太坊与索拉纳安全联盟在事后发布的博客文章中披露,黑客创建了伪造账户,并将目标收款地址替换为其个人钱包地址。同时,恶意脚本还尝试通过相似字符地址劫持流量,提升攻击成功率。
尽管理论上可造成巨额损失,实际结果却令人震惊——安全联盟数据显示,黑客仅成功窃取约0.05美元的以太坊及20美元的memecoin。而同期相关资产的交易量已达588美元。
匿名白帽黑客、安全联盟创始人samczsun在X平台上评论称,此次事件堪称“一代人的失误,我们可能永远不会再看到这样的失误”。他认为,攻击者虽具备强大能力,但策略上存在明显疏漏,导致收益极低。
数字资产恢复公司Circuit首席执行官Harry Donnelly表示,这并非孤立事件。他警告:“加密供应链中仍存在大量依赖关系与未修复漏洞,未来类似攻击极有可能再次发生。”
Donnelly强调,即使是看似无害的开源包更新,也可能成为攻击入口。因此,建立自动化检测机制、加强依赖项审计,对于防范资金被盗至关重要。
此次事件再次凸显“区块链分析”在识别异常行为中的关键作用。尽管攻击未造成重大财务损失,但其潜在破坏力警示行业必须重新审视软件供应链的安全边界。
195
161
910
886
430
951
216
101
334
444
