摘要 安全专家建议加密用户要非常小心,因为大规模的供应链漏洞可能会被用来窃取资金 。 好币网报道:
Ledger 首席技术官查尔斯·吉列梅 (Charles Guillemet) 周一发出警告,称在发现受损的 JavaScript 代码包后,大量加密货币用户可能面临资金被盗的风险。xbL比特币实时行情与区块链市场分析平台-好币网
NPM 是 JavaScript 的一个著名包管理器,而 Guillemet 在 X 上发布的警告指出,一旦信誉良好的开发人员账户遭到入侵,整个编程语言的生态系统都可能变得脆弱,并可能将恶意负载传播到各个网站。xbL比特币实时行情与区块链市场分析平台-好币网
“该恶意载荷的工作原理是悄无声息地动态交换加密地址,从而窃取资金,”他说道,并补充说,受感染的软件包已被下载超过10亿次。Guillemet 补充道,“可能所有区块链”上的资金都可能受到该漏洞的攻击。xbL比特币实时行情与区块链市场分析平台-好币网
软件开发人员 Cygaar 同时表示:“我强烈建议现在不要签署任何加密交易。”他在警告中指出“各种加密网站”可能存在漏洞。xbL比特币实时行情与区块链市场分析平台-好币网
区块链安全公司 Blockaid 在 X 上表示,该漏洞影响了大约二十几个流行的软件包,例如“color-name”和“color-string”。NPM 托管由其他人编写的可重用代码包,用户可以将其集成到自己的项目中。xbL比特币实时行情与区块链市场分析平台-好币网
Cygaar 解释道:“它将交易和批准的目标地址更改为攻击者的地址,而不是您实际尝试交互的地址。”xbL比特币实时行情与区块链市场分析平台-好币网
Cygaar 补充道,NPM 后来似乎禁用了受感染的软件包。不过,他鼓励开发人员仍然检查他们的依赖项,并指出他们可能在更改之前就下载了受感染的软件包。xbL比特币实时行情与区块链市场分析平台-好币网
这一事件的情绪与 Guillemet 在 X 上链接的一篇文章的作者撰写的内容相呼应。该文章表示他们“正在积极与 NPM 安全团队合作解决该问题”,并且恶意代码已从大多数受影响的网页中删除。xbL比特币实时行情与区块链市场分析平台-好币网
作者表示,受影响的 NPM 账户名为“qix”,恶意补丁影响了“JavaScript 中的一些最基本的实用程序”,这些实用程序是无数项目的基础。xbL比特币实时行情与区块链市场分析平台-好币网
观众注意到,恶意负载可以替换加密货币地址,但用户仍然需要在发送资金之前手动批准交易 - 这是一个让用户认识到他们的资金流向错误位置的窗口。xbL比特币实时行情与区块链市场分析平台-好币网
Loopscale 联合创始人兼首席运营官 Mary Gooneratne 表示,这种情况凸显了加密行业在某些方面仍然容易受到 Web2 世界和其他形式的开源软件的依赖。解密.xbL比特币实时行情与区块链市场分析平台-好币网
受到威胁的软件包只存在了几个小时,但“这仍然非常可怕”,她表示,并指出有措施可以防止 NPM 软件包自动升级。xbL比特币实时行情与区块链市场分析平台-好币网
“这对生态系统来说是一个很好的教训,”她说。“我认为这对每个人来说都是一个很好的机会,确保一切都得到清理。”xbL比特币实时行情与区块链市场分析平台-好币网
Gooneratne 表示,Solana 上的借贷协议 Loopscale 并未受到攻击。此外,自托管钱包 Phantom 也是周一被攻击的项目之一。说它没有受到供应链攻击的影响。xbL比特币实时行情与区块链市场分析平台-好币网
xbL比特币实时行情与区块链市场分析平台-好币网
在 Github 上,与被盗 NPM 账户绑定的个人表示他们已经联系了 NPM,该公司正在努力移除被盗用的软件包。他们表示,自己成了一封重置账户双因素身份验证邮件的受害者。xbL比特币实时行情与区块链市场分析平台-好币网
“是的,我被黑了,”他们写道。“非常抱歉,这太令人尴尬了。”xbL比特币实时行情与区块链市场分析平台-好币网
解密已联系 NPM 征求意见,但尚未立即收到回复。xbL比特币实时行情与区块链市场分析平台-好币网
编者注:此故事为突发新闻,将更新更多背景信息。xbL比特币实时行情与区块链市场分析平台-好币网
loading...
219
