周一，一封网络钓鱼邮件使Node.js最活跃的开发者之一受到重创，恶意代码被推送到每周下载数十亿次的包中，研究人员称这是近年来最大的软件供应链攻击。

尽管攻击的范围巨大，安全联盟在周二的报告中表示，攻击者仅获得了几美分的收益。然而，安全团队现在面临着更新后端系统以应对进一步攻击的巨大成本。

一位非常受欢迎的维护者，其作品（如chalk和debug-js）每周被下载数十亿次，名为“qix”，负责chalk和debug-js等库，上周在收到来自support@npmjs[.]help的邮件后被攻陷。该域名曾指向一个俄罗斯服务器，并重定向到一个伪造的双因素认证页面，该页面托管在内容分发网络BunnyCDN上。

凭借完全访问权限，攻击者重新发布了每个qix包，并注入了以加密为中心的有效载荷。

Node包管理器（缩写为npm，而不是NPM）就像开发者的应用商店，程序员在这里下载小的代码构件（称为包），而不是从头开始编写所有内容。维护者是创建和更新这些包的人或实体。

攻击是如何发生的

注入的代码很简单。它检查window.ethereum是否存在，如果存在，则钩入以太坊的核心交易功能。对approve、permit、transfer或transferFrom的调用被悄悄重定向到一个单一的钱包“0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976”。

任何具有价值且没有数据的以太坊交易也被重定向。对于Solana，恶意软件用一个以“1911…”开头的无效字符串覆盖接收者，直接破坏转账。

网络请求也被拦截。

通过劫持fetch和XMLHttpRequest，恶意软件扫描JSON响应中的子字符串，寻找类似钱包地址的内容，并用280个硬编码的替代品之一替换它们，以看起来相似。

攻击的影响

但尽管分发广泛，影响却微乎其微。

链上数据表明，攻击者仅获得了约五美分的以太和价值约20美元的流动性差的memecoin，该币的交易量不足600美元，安全联盟的报告称。

流行的浏览器钱包MetaMask也在X上表示，它并未受到npm供应链攻击的影响，因为该钱包锁定其代码版本，使用手动和自动检查，并分阶段发布更新。它还采用了“LavaMoat”，即使插入恶意代码也能阻止其运行，以及“Blockaid”，快速标记被攻陷的钱包地址，以防止此类攻击。

与此同时，Ledger首席技术官Charles Guillemet警告称，恶意代码已被推送到下载超过十亿次的包中，并旨在悄悄替换交易中的钱包地址。

此次攻击紧随上周ReversingLabs标记的另一起案例，其中npm包使用以太坊智能合约来隐藏恶意软件链接——这种技术将命令与控制流量伪装成普通区块链调用。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。