在最大的供应链攻击中,黑客破坏了 18 个流行的 npm 包,这些包每周的下载量超过 20 亿次。该攻击于 9 月 8 日开始,涉及注入旨在从用户那里窃取加密货币的恶意代码。
受损的包包括广泛使用的库,例如 、 、 和 。恶意代码被添加到这些软件包的新版本中,并被设计为在使用它们的网站的客户端上执行。chalkdebugansi-stylessupports-color
该恶意软件会静默拦截浏览器中的加密货币和 Web3 活动,纵钱包交互并重写支付目的地以将资金重定向到攻击者控制的账户。
流行的 npm 包被黑
该恶意软件作为复杂的浏览器内拦截器运行,针对网络流量和应用程序级 API。Akidio 观察到,它通过连接到核心浏览器功能(例如 )以及以太坊、Solana 和其他区块链的流行加密钱包的接口来实现这一目标。fetchXMLHttpRequest
恶意代码通过一系列步骤工作:
- 注入和挂钩:它将自身嵌入到浏览器环境中,并控制与 Web 请求和钱包通信相关的功能。
- 扫描敏感数据:该恶意软件主动扫描网络响应和交易详细信息,以查找与各种区块链(包括比特币、以太坊、Solana、Tron、莱特币和比特币现金)的加密货币钱包地址匹配的模式。
- 重写钱包地址:找到合法地址后,恶意软件会将其替换为属于攻击者的硬编码列表中的相似地址。这是使用字符串匹配算法完成的,以使交换对用户来说不那么明显。
- 劫持交易:该代码在用户签署交易参数之前更改交易参数。这意味着即使用户界面显示正确的收件人地址,签名交易也会向攻击者路由资金或授予代币批准。
受感染软件包的维护者透露,他们成为网络钓鱼攻击的受害者。根据 Hacker News 的一篇帖子,一封看似来自 npm 支持的电子邮件从该域发送,诱骗开发人员透露他们的凭据。npmjs.help
该域名仅在 2025 年 9 月 5 日攻击发生前三天注册。
维护者意识到了这种损害,并开始采取措施删除软件包的恶意版本。然而,在报告发布时,至少有一个软件包仍然受到损害。simple-swizzle
该事件还显示,相同的攻击者可能使用类似的方法破坏了另一个软件包。proto-tinker-wc
下表列出了受影响的包和受损版本:
| 包 | 恶意版本 |
|---|---|
backslash |
0.2.1 |
chalk-template |
1.1.1 |
supports-hyperlinks |
4.1.1 |
has-ansi |
6.0.1 |
simple-swizzle |
0.2.3 |
color-string |
2.1.1 |
error-ex |
1.3.3 |
color-name |
2.0.1 |
is-arrayish |
0.3.3 |
slice-ansi |
7.1.1 |
color-convert |
3.1.1 |
wrap-ansi |
9.0.1 |
ansi-regex |
6.2.1 |
supports-color |
10.2.1 |
strip-ansi |
7.1.1 |
chalk |
5.6.1 |
debug |
4.4.2 |
ansi-styles |
6.2.2 |
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论