npm供應鏈攻擊浪潮：發生了什麼事？如何降低風險？

Original Article Title: "Supply Chain Attack Goes Viral Overnight: What Happened? How to Mitigate Risk?"

Original Article Author: Azuma, Odaily Planet Daily

9月9日，東八區，Ledger的首席技術官Charles Guillemet在X上發佈警告稱：「目前正發生大規模供應鏈攻擊，一位知名開發者的NPM帳號被入侵。受影響的軟體包下載量超過10億次，這意味著整個JavaScript生態系統都可能處於風險之中。」

Guillemet進一步解釋：「這段惡意程式碼會在背景中悄悄修改加密貨幣地址以竊取資金。如果你使用硬體錢包，請仔細核對每一筆簽名交易，你就是安全的。如果你沒有使用硬體錢包，請暫時避免任何鏈上交易。目前尚不清楚攻擊者是否已經竊取了軟體錢包的助記詞。」

發生了什麼？

根據Guillemet引用的安全報告，這起事件的直接原因是：知名開發者@qix的NPM帳號被入侵，導致包括chalk、strip-ansi、color-convert在內的數十個軟體包釋出惡意版本。當開發者或用戶自動安裝依賴時，惡意程式碼可能已經傳播到終端用戶。

Odaily Note: 被入侵軟體包的每週下載量數據。

簡而言之，這是一個典型的供應鏈攻擊案例——攻擊者將惡意程式碼（如NPM套件）植入開發工具或依賴系統中以進行惡意活動。NPM，全稱Node Package Manager，是JavaScript/Node.js生態系統中最廣泛使用的套件管理工具。其主要功能包括依賴管理、套件安裝與更新、程式碼分享等。

由於NPM生態規模龐大，目前擁有數百萬個軟體包，幾乎所有Web3專案、加密錢包和前端工具都依賴NPM——這正是NPM龐大依賴和複雜鏈路使其成為供應鏈攻擊高風險入口的原因。攻擊者只需在常用軟體包中植入惡意程式碼，就可能影響數千個應用和用戶。

如上圖所示的惡意程式碼傳播流程圖：

· 某個專案（藍色框）直接依賴一些常見的開源庫，如express。

· 這些直接依賴（綠色框）又依賴其他間接依賴（黃色框，如lodash）。

· 如果某個間接依賴被攻擊者（紅色框）悄悄植入惡意程式碼，就會沿著依賴鏈傳播到該專案中。

這對加密貨幣意味著什麼？

這起安全事件與加密貨幣行業的直接關聯在於，駭客植入上述被入侵軟體包的惡意程式碼是一種高級的「加密貨幣剪貼板劫持器」，通過替換錢包地址、劫持交易來竊取加密資產。

Stress Capital創辦人GE（@GuarEmperor）在X上詳細說明，駭客的「剪貼板劫持器」注入採用兩種攻擊模式——被動利用Levenshtein距離演算法替換錢包地址，使其在視覺上極為相似，難以察覺；主動在用戶簽名交易前，於瀏覽器檢測到的加密貨幣錢包中篡改目標地址。

由於這次攻擊針對的是JavaScript專案的基礎層庫，即使是間接依賴這些庫的專案也可能受到影響。

駭客如何獲利？

駭客植入的惡意程式碼同時公開了其攻擊地址。駭客在Ethereum上的主要攻擊地址為0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976，資金主要來自以下三個地址：

· 0xa29eEfB3f21Dc8FA8bce065Db4f4354AA683c0240

· x40C351B989113646bc4e9Dfe66AE66D24fE6Da7B

· 0x30F895a2C66030795131FB66CBaD6a1f91461731

Arkham團隊已為此次攻擊事件建立追蹤頁面，可查詢駭客的實時獲利與轉帳資訊。

截至發稿時，駭客攻擊僅獲利496美元，但考慮到惡意程式碼的傳播範圍尚未確定，預計這一數字仍可能繼續上升——開發者已被通知，並正積極與NPM安全團隊合作處理。大多數受影響套件中的惡意程式碼已被移除，情況已得到控制。

如何降低風險？

Defillama創辦人@0xngmi在X上表示，雖然這起事件聽起來危險，但實際影響並不廣泛——因為這次事件只影響自被入侵NPM軟體包釋出後有推送更新的網站，其他專案仍會使用舊版本；且大多數專案會鎖定依賴，即使推送更新也會繼續使用舊的安全程式碼。

然而，由於終端用戶無法真正知道專案是否鎖定依賴，或是否有動態下載依賴，目前最重要的是專案方主動自查並公開說明。

截至發稿時，包括MetaMask、Phantom、Aave、Fluid、Jupiter等多個錢包或應用端專案均已公開說明未受此次事件影響。因此，理論上，用戶可以放心使用已確認安全的錢包安全訪問已確認安全的協議。但對於尚未進行安全說明的錢包或專案，暫時避免使用可能是更安全的做法。