黑客成功入侵了一位知名软件开发者的NPM（Node Package Manager）账户，并在多款热门JavaScript库中注入了恶意软件，目标是加密钱包。

行业安全研究人员指出，在此次影响JavaScript软件库的大规模供应链攻击中，黑客仅窃取了价值约50美元的加密货币。

根据Security Alliance周一发布的调查结果，黑客攻破了一位知名软件开发者的NPM账户，并在已被下载超过10亿次的热门JavaScript库中植入了恶意软件，导致无数加密项目面临潜在风险。Security Alliance表示，此次攻击专门瞄准了以太坊（ETH）和索拉纳（SOL）钱包。

该安全公司表示，目前被盗的加密货币总价值尚不足50美元，并确认以太坊钱包地址“0xFc4a48”是唯一已知的恶意地址。Security Alliance还在X平台上补充道：

“设想一下，你攻陷了一位NPM开发者的账户，其软件包每周下载量超过20亿次。你将能够不受限制地访问数百万开发者的工作站，毫无疑问无数财富触手可及，世界尽在你的掌控中，但你获得的却仅仅不足50美元。”

安全研究员Samczsun（化名SEAL）在对Cointelegraph的独立评论中表示：“黑客没有充分利用他们所掌握的访问权限。这就像找到Fort Knox的钥匙卡却把它用作书签。尽管恶意软件传播广泛，但目前几乎完全被中和。”

不过，50美元的数字与几小时前的五美分钱相比有所上升，表明潜在的损害可能仍在不断增加。

少量被盗加密资产包括ETH及迷因币

Security Alliance表示，最初被盗的价值5美分的加密资产为以太币（ETH），此外，约20美元的迷因币（memecoin）也被盗走。

根据Etherscan的数据，该恶意地址已收到包括Brett（BRETT）、Andy（ANDY）、Dork Lord（DORK）、Ethervista（VISTA）和Gondola（GONDOLA）等迷因币。

未下载NPM的加密项目依然面临风险

此次攻击主要针对chalk、strip-ansi和color-convert等小型软件包，这些工具深藏在众多项目的依赖树中。即使开发者没有直接安装这些包，仍然可能受到影响。

NPM可视作开发者的应用商店，是一个集中式库，供开发者共享和下载小型代码包以构建JavaScript项目。

攻击者疑似植入了一种名为crypto-clipper的恶意软件，该软件会在交易过程中悄悄替换钱包地址，从而转移资金。

Ledger的首席技术官Charles Guillemet和多位业内人士均呼吁加密用户在确认链上交易时务必谨慎。

Ledger在另一则帖子中表示，其设备并未直接受到此次NPM攻击的影响。

加密创始人称你不会立即被掏空

加密分析平台DeFiLlama的创始人0xngmi指出，只有在恶意NPM包发布后的更新才可能使某些加密项目面临风险。而且，即便如此，用户仍需主动批准恶意交易才能遭受损失。

他与Guillemet一致指出，用户在平台开发者清理恶意包之前，应该避免访问相关的加密网站，以确保安全。

相关推荐：Gemini在欧洲推出衍生品以及以太坊（ETH）和索拉纳（SOL）质押服务