刚刚听说了被称为“史上最大规模”的供应链黑客攻击

黑客通过钓鱼拿下了 NPM 热门包维护者的账号，把恶意代码植入到下载量巨大的开源依赖中（比如 chalk、debug、ansi-styles 等），这些包一周的下载量就有 20 亿次。

恶意脚本会在浏览器里拦截加密货币交易，把原本的收款地址替换成攻击者的钱包地址，直接实现资金劫持。

小伙伴们在交易的时候一定要注意逐笔确认硬件钱包签名的交易接收地址，并且提醒尽量不要用 web 前端去做链上操作，至少等到受影响的 NPM 包都彻底清理、补丁发布之后再使用。

如果使用的是非硬件钱包则要更加小心。

这类供应链攻击不再是针对个别应用，而是直接切断整个开发者生态链路，影响范围极广，很多 DApp 或交易服务只要调用了受污染的库都有风险。

本文由 #Bitget ｜ @Bitget_zh 赞助

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。