行业恐慌过后，大规模加密货币攻击被证明是徒劳的

摘要 最近一次供应链攻击针对的是 JavaScript 代码，黑客控制了一个 GitHub 帐户，并将恶意代码插入到常用的代码包中。尽管影响了 10% 的云环境，但迄今为止，攻击者的钱包中只收到了价值 1,043 美元的加密货币 。 币圈网报道：

针对 JavaScript 代码的大规模黑客攻击，恶意软件本周早些时候发出警报仅窃取了价值 1,043 美元的加密货币，数据来自阿卡姆情报.Idc币圈网 - 区块链数字货币实时行情平台

Wiz 的网络安全研究人员昨天发表了一篇关于“广泛”供应链攻击的分析报告，文中写道一篇博客文章不良行为者利用社会工程学来控制Qix 的 GitHub 帐户（Josh Junon），JavaScript 流行代码包的开发者。Idc币圈网 - 区块链数字货币实时行情平台

黑客发布了其中一些软件包的更新，添加了可激活 API 和加密钱包接口的恶意代码，以及扫描加密货币交易以重写收件人地址和其他交易数据。Idc币圈网 - 区块链数字货币实时行情平台

令人震惊的是，Wiz 的研究人员得出结论，10% 的云环境包含一些恶意代码实例，并且 99% 的所有云环境都使用了黑客所针对的一些软件包 - 但并非所有这些云环境都会下载受感染的更新。Idc币圈网 - 区块链数字货币实时行情平台

Idc币圈网 - 区块链数字货币实时行情平台

尽管该漏洞的潜在规模很大，但来自阿卡姆的最新数据表明，威胁行为者的钱包迄今为止只收到相对较少的 1,043 美元。Idc币圈网 - 区块链数字货币实时行情平台

在过去的几天里，这一数字一直在稳步增长，主要涉及 ERC-20 代币的转账，单笔交易价值在 1.29 美元到 436 美元之间。Idc币圈网 - 区块链数字货币实时行情平台

同样的漏洞也扩展到了 Qix 的 npm 包之外，JFrog Security 昨天的更新揭示 DuckDB SQL 数据库管理系统已被攻破。Idc币圈网 - 区块链数字货币实时行情平台

此更新还表明，该漏洞“似乎是历史上最大的 npm 攻击”，凸显了攻击的惊人规模和范围。Idc币圈网 - 区块链数字货币实时行情平台

Wiz Research 的研究人员表示，此类软件供应链攻击正变得越来越普遍解密.Idc币圈网 - 区块链数字货币实时行情平台

他们表示：“攻击者已经意识到，只要攻陷一个软件包或依赖项，就能让他们同时入侵数千个环境。正因如此，我们看到这类事件数量稳步上升，从域名抢注到恶意软件包接管，不一而足。”Idc币圈网 - 区块链数字货币实时行情平台

事实上，过去几个月已经发生了多起类似事件，包括将恶意拉取请求插入以太坊的 ETHcode 扩展7 月份，该应用的下载量已超过 6,000 次。Idc币圈网 - 区块链数字货币实时行情平台

Wiz Research 表示，“npm 生态系统尤其经常成为攻击目标，因为它非常受欢迎，而且开发人员依赖传递依赖项。”Wiz Research 的成员包括 Wiz 关于 Qix 黑客攻击的博客作者 Hila Ramati、Gal Benmocha 和 Danielle Aminov。Idc币圈网 - 区块链数字货币实时行情平台

Wiz 表示，最新事件强调了保护开发流程的必要性，各组织被敦促保持整个软件供应链的可见性，同时监控异常的软件包行为。Idc币圈网 - 区块链数字货币实时行情平台

在 Qix 漏洞事件中，许多组织和实体似乎都在做同样的事情，该漏洞在发布后两小时内就被发现。Idc币圈网 - 区块链数字货币实时行情平台

快速检测是该漏洞造成的经济损失有限的主要原因之一，但 Wiz Research 认为还有其他因素在起作用。Idc币圈网 - 区块链数字货币实时行情平台

他们表示：“该有效载荷的设计初衷是针对具有特定情况的用户，这可能会限制其覆盖范围。”Idc币圈网 - 区块链数字货币实时行情平台

Wiz 的研究人员补充说，开发人员也更加了解此类威胁，许多开发人员都采取了保护措施，以便在可疑活动造成严重损害之前将其捕获。Idc币圈网 - 区块链数字货币实时行情平台

他们表示：“我们总是有可能会看到延迟的影响报告，但根据我们今天所了解的情况，快速的检测和删除工作似乎限制了攻击者的成功。”Idc币圈网 - 区块链数字货币实时行情平台