npm软件包遭恶意代码注入,Scam Sniffer警示JavaScript生态系统风险
9月9日,安全机构Scam Sniffer披露,知名开发者qix因遭遇钓鱼攻击导致npm软件包被植入恶意代码,受影响的软件包涵盖chalk、strip-ansi及color-convert等知名库。攻击者通过劫持钱包功能、篡改ETH/SOL交易收款地址以及替换网络响应中的地址实施资金窃取。官方建议用户严格核对钱包界面收款方与金额、监控地址粘贴后的异常变动、复查近期交易记录,高价值操作应优先采用硬件钱包。
据Ledger首席技术官Charles Guillemet分析,相关软件包累计下载量突破10亿次,表明整个JavaScript生态系统存在系统性风险。恶意代码具备在交易过程中静默替换加密地址的能力,硬件钱包用户可通过验证交易签名规避风险,非硬件钱包持有者被建议暂缓链上操作。目前尚无证据表明攻击者已获取用户助记词信息。
相关文章:
- 宇信科技系统布局稳定币生态2025-06-29 23:51:14
- 深圳警示稳定币名义非法集资风险2025-07-07 11:40:34
- 以太基金会重生态系统发展战略2025-07-10 21:49:52
- 河南警示稳定币非法集资风险2025-07-15 20:15:47
- 多地警示稳定币相关非法活动风险2025-07-27 09:19:19
- OKX CEO强调X Layer长期生态价值,警示短期投机风险2025-08-21 22:24:01
- AIO代币遭大规模转出抛售,CertiK发出风险警示2025-09-01 18:04:31
- ReversingLabs揭露黑客利用以太坊智能合约分发恶意npm包2025-09-04 18:59:30
- npm软件包遭恶意代码注入,Scam Sniffer警示JavaScript生态系统风险2025-09-09 08:41:09
- npm包@ctrl/tinycolor遭恶意代码注入引发大规模供应链攻击2025-09-16 10:01:03