npm核心包遭恶意代码注入,Scam Sniffer警示系统性风险
安全机构Scam Sniffer披露,9月9日知名开发者qix因遭遇钓鱼攻击导致npm生态中chalk、strip-ansi、color-convert等核心软件包被植入恶意代码。攻击者通过劫持钱包功能、篡改ETH/SOL交易收款地址及替换网络响应中的地址实施资金窃取。官方建议用户严格核对钱包界面收款方与金额、监控地址粘贴后的异常变动、复查历史交易记录,高价值操作应优先采用硬件钱包。
据Ledger首席技术官Charles Guillemet分析,受感染软件包累计下载量突破10亿次,表明整个JavaScript生态系统存在系统性风险。恶意代码可在交易过程中无感知替换加密地址,硬件钱包用户可通过验证交易签名规避风险,非硬件钱包持有者被建议暂停链上操作。目前尚无证据表明攻击者已获取用户助记词信息。
版权声明:如发现本站有涉嫌抄袭侵权/违法违规的内容请联系客服!