Ledger CTO警告錢包持有者注意NPM帳戶被駭

• 一場大規模攻擊波及數百萬加密平台所使用的JavaScript工具。
• Ledger CTO建議用戶在簽署每筆交易前務必檢查，避免盲簽。
• 開發者被要求加強套件安全，並在修復完成前停止自動更新。

針對JavaScript生態系統的大規模供應鏈攻擊震撼了加密產業，暴露了其基礎設施中脆弱的依賴關係。2025年9月8日，Ledger首席技術官Charles Guillemet證實，攻擊者已入侵一位知名開發者的NPM（Node Package Manager）帳號。該被入侵帳號讓駭客得以將「crypto-clipper」惡意軟體注入大量使用的JavaScript套件中。

這些受感染的函式庫，包括chalk、debug、strip-ansi和color-convert，總下載量超過10億次，顯示曝險規模極為龐大。根據Guillemet說法，惡意程式碼會在交易過程中悄悄更換加密錢包地址，將資金轉至攻擊者控制的帳戶。這意味著毫無戒心的用戶在完成交易時，以為一切正常，實際上卻在不知情下失去資產。

受影響的工具絕非冷門。像Chalk和Debug這類函式庫支援眾多去中心化應用和加密平台，與生態系統的日常運作息息相關。這些函式庫一旦遭到入侵，意味著一次攻擊就能迅速波及數百萬個錢包和應用。

Ledger CTO發出緊急警告

Guillemet並未透露被入侵開發者的具體身份，但他明確指出威脅範圍極廣。「這是一場大規模供應鏈攻擊。整個JavaScript生態系統都可能受到影響，」他在官方警告中寫道。

他強調，使用具備安全螢幕且支援Clear Signing的硬體錢包至關重要。「唯一能有效對抗這類攻擊的方法，就是使用具備安全螢幕並支援清晰簽名的硬體錢包，」他說。「這能讓用戶清楚看到資金將被發送至哪些地址，並確保與預期地址一致。」

他補充道：「沒有安全螢幕的硬體錢包，以及任何不支援清晰簽名的錢包，風險極高，因為無法準確驗證交易細節是否正確。」

最後，他廣泛提醒：「這也是提醒大家的好時機：務必核對你的每筆交易，絕不盲簽，使用具備安全螢幕的硬體錢包，並對所有操作進行清晰簽名。」

開發者回應及更廣泛影響

事件曝光後，開發者被敦促鎖定安全版本的依賴項、加強lockfile安全，並暫停自動更新套件，直至另行通知。這些預防措施旨在控制損害，同時對生態系統進行審計和清理。加密開發者社群中的知名人士也建議用戶，在漏洞修復前避免與加密網站互動。

相關：Ripple開發者針對Kaiko評估為XRP Ledger辯護

這起事件凸顯，即使是像Ledger這樣的關鍵錢包供應商，也依賴於其無法直接控制的軟體層。一旦這些層級遭到入侵，後果可能極為嚴重。數百萬用戶及價值數十億美元的數位資產，可能在數小時內陷入風險。

NPM攻擊事件最新進展

根據Guillemet的最新更新，這次攻擊已經失敗，幾乎沒有受害者。攻擊始於一封來自偽造npm支援域名的釣魚郵件，竊取了憑證，使攻擊者能夠發布惡意套件更新。注入的程式碼針對網頁加密活動，鉤取Ethereum、Solana及其他鏈上的交易，通過直接在網路回應中替換錢包地址來劫持交易。然而，攻擊者的失誤導致CI/CD流程崩潰，從而提早被發現並限制了影響範圍。

Guillemet強調，如果你的資金存放在軟體錢包或交易所，只需一次程式碼執行就可能失去一切。供應鏈攻擊仍是強大的惡意軟體傳播途徑，且針對性攻擊日益增加。他同時指出，硬體錢包設計就是為了抵禦這類威脅。Clear Signing等功能可讓你精確確認交易內容，而交易檢查則能在為時已晚前標記可疑行為。

本文最初發表於Cryptotale，標題為Ledger CTO Warns Wallet Holders After NPM Account Hack。