史上最大NPM供应链攻击爆发！转帐地址恐遭无声替换

全球开源生态传出重大资安事件。硬件钱包厂商Ledger 技术长Charles Guillemet 周一在X 上警告，一场大规模供应链攻击正在进行中。

据悉，有骇客入侵了一名知名开发者的Node Package Manager（NPM） 帐号，并将恶意程式码注入至多个广泛使用的JavaScript 套件中，该套件的累计下载量已超过10 亿次。

这些恶意程式具备「地址窜改」功能，能在使用者进行链上交易时悄悄替换钱包地址，将资金转往骇客钱包。安全专家指出，若去中心化应用（DApp）、软体钱包或其他使用受感染套件的服务被牵连，全球大量加密用户可能面临资金被窃风险，这起事件被称为「史上最大规模的供应链攻击」。

根据社群追踪的资讯显示，攻击目标包含chalk、strip-ansi、color-convert等多个深埋在专案程式码中的工具套件，几乎所有JavaScript 开发者都可能间接受影响。研究人员指出，骇客透过钓鱼邮件冒充NPM 官方，骗取维护者登入凭证后，成功推送带有恶意程式的更新版本。资安专家警告，这类攻击的危险在于其多层次渗透，除了窜改页面内容，还可能干扰API 呼叫与交易签名过程，让使用者误以为自己操作的是合法交易。

简单来说，只要DApp、前端网站或软体钱包引入了受影响的JS 套件，当使用者发起链上操作（转帐、Swap 等）时，恶意程式就会静默替换目标地址为攻击者地址，导致加密货币在不知不觉之中转进攻击者的钱包地址。

Guillemet 强调，此次事件显示开源软体间的高度互相依赖，一旦开发者工具出现漏洞，冲击能在极短时间内传导至整个加密经济。他建议用户务必使用具备安全萤幕并支援「清晰签名」（Clear Signing）的硬体钱包，让使用者在确认交易前，能清楚、完整地看到自己即将签名的内容，如此一来才能确保每笔交易地址正确无误，避免成为受害者。

虽然部分开发者因「锁定版本」而避免了升级至受感染的套件，但由于使用者无法轻易判断哪些网站或应用仍受影响，专家建议在漏洞完全清理之前，应谨慎使用相关应用或服务，并避免进行敏感的资金操作。