NPM供應鏈攻擊刷屏：發生了什麼事？如何規避風險？

原文標題：《一夜間「供應鏈攻擊」刷屏：發生了什麼事？如何規避風險？ 》

原文作者：Azuma，Odaily 星球日報

北京時間 9 月 9 日，Ledger 首席技術官 Charles Guillemet 於 X 發文號已被取消帳號：「目前正在發生大規模的開發者所攻擊，一名知名預警已被下載。億次，這意味著整個 JavaScript 生態系統都可能面臨風險。補充表示：「惡意程式碼的工作原理是在後台靜默篡改加密貨幣地址，以此竊取資金。如果你使用硬體錢包，請仔細核對每一筆簽名交易，你就是安全的。如果你沒有使用硬體錢包，請暫時避免進取行任何鏈上交易。

根據 Guillemet 所引用的安全報告內容，本次事件發生的直接原因在於：知名開發者 @qix 的 NPM 帳戶遭到入侵，導致數十個軟體包被發布惡意版本，包括 chalk、strip-ansi 和 color-convert 等，惡意版本，包括用戶已安裝到自動終端機時已在使用裝置時。

Odaily 注意：受損軟體包的周下載量資料。

簡而言之，這是一起經典的供應鏈攻擊案例——即攻擊者透過在開發工具或依賴系統中植入惡意程式碼（如 NPM 套件）來進行作惡。所謂 NPM，全稱為 Node Package Manager，它是 JavaScript/Node.js 生態裡最常用的軟體包管理工具，其主要功能包括管理依賴、安裝和更新軟體包、共享程式碼等等。

NPM 的生態規模極大，目前已有數百萬個軟體包，幾乎所有 Web3 專案、加密錢包、前端工具都會依賴 NPM——也正是因為 NPM 依賴數量龐大且鏈路複雜，所以它是供應鏈攻擊的高危險群入口，攻擊者只要在一個，常用軟體包

如上圖的惡意程式碼擴散流程圖所示：

· 某專案（藍色框）會直接依賴一些常見的開源程式庫，例如 express。

· 這些直接依賴（綠色框）又會依賴其他間接依賴（黃色框，如 lodash）。

· 如果某個間接依賴被攻擊者偷偷植入了惡意程式碼（紅色框），它會順著依賴鏈條進入該專案。

這對加密貨幣意味著什麼？

該起安全事件與加密貨幣行業的直接關係在於，黑客向上述受污染的軟體包中植入的惡意代碼是一個精密的“加密貨幣剪貼板劫持程序”，通過替換錢包地址和劫持交易來竊取加密資產。

Stress Capital 創始人 GE（@GuarEmperor）於 X 就此進行了更詳細的解釋，黑客所注入的"剪貼板劫持程序“採用了兩種被動攻擊模式——距離使用“剪貼文斯坦演算法algorithm）」替換錢包位址，由於視覺上近似因此極難察覺；主動模式下則會在偵測瀏覽器內的加密錢包，在用戶簽署交易前篡改目標位址。

由於本次攻擊針對的是 JavaScript 專案基礎層函式庫，這意味著即使間接依賴這些函式庫的專案也可能受到影響。

駭客獲利狀況如何？

駭客所植入的惡意程式碼也揭露了其攻擊位址，駭客在以太坊上的主要攻擊位址為 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976，資金上則主要來源 0xa29eEfB3f21Dc8FA8bce065Db4f4354AA683c0240

· x40C351B989113646bc4e9Dfe66AE66D24fE6Da7B

· 0x30F895a2C66030795131FB66CBaD6a1f91461731

Arkham 方面已就本次攻擊事件製作了跟踪頁面，在該頁面可即時查詢黑客攻擊。

截至發文，黑客攻擊歲僅獲利 496 美元，但考慮到目前尚未確定惡意代碼的已擴散範圍，預計該數據可能還會繼續上升——開發者本人現已收到通知，正在與 NPM安全團隊積極合作解決問題，惡意程式碼目前已從大部分受影響的軟體包中移除，所以情況正在控制。

該如何規避風險？

Defillama 創始人 @0xngmi 於 X 表示，本次事件雖然聽起來很危險，但實際影響範圍實際上並沒有那麼誇張——因為本事件只會影響自被黑的 NPM 軟體包發布以來一直更新的網站，其他項目仍將使用舊版本；

不過，由於用戶側無法真正知道某個項目是否固定了依賴項，或者它們是否有一些動態下載的依賴項，所以目前首先需要由項目方出面自檢並進行披露。

截至發文，包括 MetaMask、Phantom、Aave、Fluid、Jupiter 等多個錢包或應用端項目方均已披露自身不受本次事件影響，故理論上用戶可放心使用已確認安全的錢包訪問已確認安全的協議，但對於其他尚未進行安全做法的可能會被避免使用錢包或項目，暫時使用可能是正常披露，但對於其他尚未進行安全做法的可能會是正常使用。

原文連結