Ledger首席技术官在大规模NPM供应链攻击中警告用户

Ledger首席技术官Charles Guillemet周一发布紧急警告，呼吁部分用户暂停链上交易。此次警报源于一起大规模供应链攻击事件——某受信任开发者的NPM账户遭入侵，波及下载量超10亿次的软件包。

"当前正在发生大规模供应链攻击，"Guillemet在X平台发文称，"若使用硬件钱包，只需在签署前仔细核对每笔交易即可确保安全。若非硬件钱包用户，请暂时停止所有链上交易。"

攻击手法解析

供应链攻击针对软件分发环节而非终端用户。本案中，黑客控制了开发者'qix'的NPM账户。

攻击者植入恶意代码，可自动替换加密货币地址，诱使用户将资金转入黑客钱包而非真实收款方。该手法与今年朝鲜黑客从交易所Bybit窃取15亿美元时所用策略如出一辙。

加密开发者迅速察觉异常。@0x_ultra披露Chalk等周下载量超20亿次的软件包遭篡改，存在私钥窃取风险。

受害开发者证实攻击源于伪装成NPM的钓鱼邮件，通过威胁冻结维护者账户诱导访问恶意网站。但截至发稿，黑客仅成功盗取498美元。

用户应对指南

据报UTC时间15:15左右漏洞已修复。但近期更新过依赖项的网站/应用仍可能面临风险。

Uniswap、Metamask、Ledger、OKX Wallet、Sui、Aave及Morpho等平台均声明"未受此次NPM供应链攻击影响"。

Guillemet特别强调，采用硬件钱包且启用交易明文验证的用户无需担忧。建议开发者全面检查依赖项，确保未使用受感染版本。

本次事件可能成为史上最大规模供应链攻击，再次警示软件生态日益增长的风险及加密交易安全的重要性。