大规模漏洞威胁应用程序和钱包，加密货币用户被警告停止交易

币圈网报道：

Ledger 首席技术官查尔斯·吉列梅 (Charles Guillemet) 周一警告称，在发现受损的 JavaScript 代码包后，大量加密用户可能面临资金被盗的风险。2mj币圈网 - 区块链数字货币实时行情平台

NPM 是 JavaScript 的一个著名包管理器，而 Guillemet说X 上的警告称，一旦信誉良好的开发人员的帐户遭到入侵，整个编程语言的生态系统都可能变得脆弱，并可能将恶意负载传播到各个网站。2mj币圈网 - 区块链数字货币实时行情平台

“该恶意载荷的工作原理是悄无声息地动态交换加密地址，从而窃取资金，”他说道，并补充说，受感染的软件包已被下载超过10亿次。Guillemet 补充道，“可能所有区块链”上的资金都可能受到该漏洞的攻击。2mj币圈网 - 区块链数字货币实时行情平台

2mj币圈网 - 区块链数字货币实时行情平台

软件开发人员 Cygaar 同时表示：“我强烈建议现在不要签署任何加密交易。”警告并指出“各种加密网站”可能存在漏洞。2mj币圈网 - 区块链数字货币实时行情平台

区块链安全公司 Blockaid在 X 上说该漏洞影响了大约二十几个流行的软件包，例如“color-name”和“color-string”。NPM 托管由其他人编写的可重用代码包，用户可以将其集成到自己的项目中。2mj币圈网 - 区块链数字货币实时行情平台

Cygaar 解释道：“它将交易和批准的目标地址更改为攻击者的地址，而不是您实际尝试交互的地址。”2mj币圈网 - 区块链数字货币实时行情平台

Cygaar 补充道，NPM 后来似乎禁用了受感染的软件包。不过，他鼓励开发人员仍然检查他们的依赖项，并指出他们可能在更改之前就下载了受感染的软件包。2mj币圈网 - 区块链数字货币实时行情平台

情绪是回响由 Guillemet 在 X 上链接的一篇文章的作者撰写，该文章表示他们“正在积极与 NPM 安全团队合作解决该问题”，并且恶意代码已从大多数受影响的网页中删除。2mj币圈网 - 区块链数字货币实时行情平台

作者表示，受影响的 NPM 帐户名为“qix”，恶意补丁影响了“JavaScript 中的一些最基本的实用程序”，这些实用程序是无数项目的基础。2mj币圈网 - 区块链数字货币实时行情平台

观众注意到，恶意负载可以替换加密货币地址，但用户仍然需要在发送资金之前手动批准交易 - 这是一个让用户认识到他们的资金流向错误位置的窗口。2mj币圈网 - 区块链数字货币实时行情平台

Loopscale 联合创始人兼首席运营官 Mary Gooneratne 表示，这种情况凸显了加密行业在某些方面仍然容易受到 Web2 世界和其他形式的开源软件的依赖。解密.2mj币圈网 - 区块链数字货币实时行情平台

受到威胁的软件包只存在了几个小时，但“这仍然非常可怕”，她表示，并指出有措施可以防止 NPM 软件包自动升级。2mj币圈网 - 区块链数字货币实时行情平台

“这对生态系统来说是一个很好的教训，”她说。“我认为这对每个人来说都是一个很好的机会，确保一切都得到清理。”2mj币圈网 - 区块链数字货币实时行情平台

Gooneratne 表示，Solana 上的借贷协议 Loopscale 并未受到攻击。此外，自托管钱包 Phantom 也是周一被攻击的项目之一。说它没有受到供应链攻击的影响。2mj币圈网 - 区块链数字货币实时行情平台

2mj币圈网 - 区块链数字货币实时行情平台

在 Github 上，与被盗 NPM 账户绑定的个人说他们已经联系了 NPM，该公司正在努力移除被盗用的软件包。他们表示，自己成了一封重置账户双因素身份验证邮件的受害者。2mj币圈网 - 区块链数字货币实时行情平台

“是的，我被黑了，”他们写道。“非常抱歉，这太令人尴尬了。”2mj币圈网 - 区块链数字货币实时行情平台

解密已联系 NPM 征求意见，但尚未立即收到回复。2mj币圈网 - 区块链数字货币实时行情平台

编者注：此故事为突发新闻，将更新更多背景信息。2mj币圈网 - 区块链数字货币实时行情平台