警報：JavaScript核心庫遭惡意投毒，數百萬加密用戶面臨竊取風險

近日，一起針對JavaScript開源生態的供應鏈攻擊事件引發廣泛關注。黑客通過入侵知名開發者"qix"的NPM（節點包管理器）帳戶，向十餘個主流工具包（包括chalk、strip-ansi、color-convert和color-name”等）注入惡意代碼。這些被污染的軟件包每週下載量超過10億次，意味着數百萬項目面臨潛在風險。

此次攻擊的特殊性在於其精準的針對性。這些專門設計用於竊取加密貨幣的惡意代碼，採用兩種攻擊模式：當檢測到MetaMask等軟體錢包時，會在交易籤名前篡改收款地址；未檢測到錢包時則監控網路流量並嘗試替換加密貨幣地址。該惡意程序支持劫取BTC、ETH、Solana等多種主流數字貨幣。

更值得警惕的是，攻擊影響範圍遠超加密貨幣領域。任何使用JavaScript/Node.js的環境都可能受到影響，包括網站、桌面程序、服務器和移動應用。普通商業網站可能無意中包含惡意代碼，但僅在用戶進行加密交易時才會激活。

面對這一威脅，安全專家建議用戶立即暫停使用瀏覽器插件和桌面軟體錢包進行鏈上交易。若確實需要交易，必須使用硬體錢包並在籤名前仔細核對設備屏幕上顯示的每個地址字符。截止目前，Uniswap和Blockstream等主流平台已聲明未受影響。

綜上，這些事惡意軟件不僅精密且隱蔽，甚至能夠長期潛伏，伺機竊取信息，對軟件供應鏈安全構成嚴重威脅。

開發者必須立即採取行動，包括審計依賴項、驗證版本完整性，並升級到淨化後的版本，以防範此類攻擊。

這次事件提醒我們持續進行安全驗證的必要性，也促使我們必須從過去依賴默認信任的方式，轉向一種持續進行驗證的新安全策略。

#供应链攻击 # NPM安全