史上最大 NPM 供应链攻击！核心 JS 函式库遭入侵，加密用户资金恐被劫

全球 JavaScript 生态正面临史上最大规模的 NPM 供应链攻击。骇客入侵了一位知名开发者的 Node Package Manager (NPM) 帐号，将恶意程式码注入到数百万应用程式依赖的核心 JavaScript 函式库中，目标直指加密货币用户的钱包资金。

攻击细节：核心函式库被植入「加密剪辑器」

根据多方安全报告，受影响的套件包括 chalk、strip-ansi 和 color-convert 等小型实用程式，它们深藏于无数专案的依赖树中，每周下载量超过 10 亿次。

恶意功能：在交易过程中悄悄替换加密钱包位址（俗称「加密剪辑器」）

潜在风险：用户在不知情的情况下，将资金转入骇客控制的地址

Ledger 首席技术官 Charles Guillemet 警告：「整个 JavaScript 生态系统可能都处于危险之中。」

加密用户成为高危目标

安全研究人员指出，依赖 软体钱包 的用户风险最高，因为恶意程式码可在网页或应用中窜改交易细节。

硬体钱包用户则相对安全，因为每笔交易需在实体设备上确认。

DefiLlama 创办人 0xngmi 提醒，恶意程式码不会自动清空钱包，但会在用户点击「交换」或「确认」时窜改交易内容

由于用户无法轻易辨别哪些网站已更新安全版本，专家建议暂停在不确定安全性的网站上进行加密交易，直到受影响套件被全面清理。

攻击手法：钓鱼邮件夺取维护者帐号

（来源：Github）

攻击者透过伪装成官方 NPM 支援的钓鱼邮件，诱骗维护者在假网站更新双重认证，进而窃取登入凭证。

一旦取得帐号控制权，骇客便能向下载量达数十亿次的套件推送恶意更新。

Aikido Security 研究员 Charlie Eriksen 表示，此次攻击危险之处在于它能「同时窜改网站显示内容、API 呼叫，以及用户应用程式认为正在签署的交易资料」。

为何这是「史上最大供应链攻击」？

影响范围广：波及数百万应用程式与网站

渗透深度高：核心函式库位于依赖链底层，即使未直接安装也可能受影响

针对性强：专门锁定加密交易与钱包资金

这意味着，从前端开发者到最终用户，整个链条都可能成为攻击目标。

结语

这起 NPM 供应链攻击再次凸显了 开源生态的脆弱性 与 加密市场的高风险性。对开发者而言，应立即检查并回滚至安全版本；对加密用户而言，短期内应避免在不确定安全性的网站上进行交易，并尽量使用硬体钱包进行资产管理。