Ledger技術長警告用戶NPM供應鏈漏洞威脅加密貨幣安全

一場大規模的供應鏈攻擊震撼了開源社群，駭客入侵了一位知名開發者的Node Package Manager（NPM）帳號。多個廣泛使用的套件受到影響，引發了整個JavaScript生態系統的重大關切。

NPM漏洞引發錢包安全疑慮

Ledger技術長Charles Guillemet揭露了威脅的嚴重程度。他表示，一個主要的NPM帳號已被劫持，受影響的套件下載次數已超過10億次。鑑於其影響範圍，他指出整個JavaScript生態系統都可能受到波及。惡意程式碼在背後默默運作，能即時切換加密貨幣地址，將資金轉移至攻擊者手中。

Guillemet呼籲用戶提高警覺。他解釋，硬體錢包用戶只要在批准前仔細驗證每筆交易，仍可確保安全。對於依賴軟體錢包的用戶，他建議在情況明朗前避免進行鏈上交易。他同時指出，目前尚不確定攻擊者是否直接試圖從軟體錢包中竊取恢復種子。

開發者證實帳號遭接管

此次漏洞事件的核心維護者Josh Junon證實，他的NPM帳號已遭入侵。他在Bluesky上的貼文中解釋，這次帳號被接管是由一場網路釣魚活動所致。攻擊者設置了一個偽造網域，‘support [at] npmjs [dot]’ help，外觀與官方npmjs.com網站極為相似。

維護者們收到威脅郵件，聲稱其帳號將於2025年9月10日被鎖定。這些郵件包含連結，會將用戶導向設計用來竊取憑證的釣魚網站。偽造郵件聲稱：

為了維護您帳號的安全與完整性，請您儘快完成此更新。請注意，從2025年9月10日開始，2FA憑證過期的帳號將被暫時鎖定，以防止未經授權的存取。

其他開發者隨後也報告遭遇相同攻擊，證實這場釣魚行動已波及不只一位維護者。

NPM漏洞應對與技術解析

NPM團隊在發現漏洞後迅速行動，移除了攻擊者上傳的惡意版本。其中包括debug套件的一個版本，該套件每週下載量高達數億次，估計約為3.57億次。

Aikido Security進行了進一步分析，調查結果顯示如下：

• 攻擊者在被劫持套件的index.js檔案中植入惡意程式碼，作為瀏覽器攔截器，劫持流量並針對加密貨幣用戶。
• 惡意軟體嵌入瀏覽器，並掛鉤fetch、XMLHttpRequest及錢包API（如window.ethereum和Solana）等功能，從而存取網頁與錢包活動。
• 一旦啟動，會掃描Ethereum、Bitcoin、Solana、Tron、Litecoin和Bitcoin Cash等區塊鏈上的錢包地址。偵測到的地址會被替換為攻擊者控制的地址，且通常外觀相似。
• 在簽署交易前會竄改交易細節，變更收款人、授權或額度，介面看似正常，實際上資金被轉給攻擊者。
• 為了隱藏行蹤，當錢包存在時不會做出明顯變動，而是在背景靜默運作並操控真實交易。

呼籲加強防護措施

Guillemet在接受CoinDesk採訪時警告，包含受影響套件的去中心化應用或軟體錢包可能已不再安全，讓加密貨幣用戶面臨資金損失風險。他強調，最可靠的防護措施是使用支援Clear Signing的安全顯示硬體錢包。

這種方式讓用戶能直接在設備螢幕上驗證每筆交易的地址與細節，確保所批准的內容與自身意圖一致。

他補充，這次事件強烈提醒大家必須遵循基本安全守則：「務必驗證你的交易，切勿盲目簽署。」他同時建議使用具備安全顯示的硬體錢包以確保安全。