根据网络安全公司Aikido Security的新研究，一次重大的JavaScript供应链攻击已经危及数百个软件包，其中至少有10个在加密生态系统中被广泛使用。

在周一的一篇文章中，Aikido Security的研究员Charlie Eriksen 分享了400多个显示感染“Shai Hulud”自我复制恶意软件迹象的软件包名称，该恶意软件用于正在进行的JavaScript NPM库供应链攻击。Eriksen表示，他验证了每个检测结果以避免误报。

许多涉及加密货币的软件包每周下载量达数万次，并且有许多其他软件包需要它们才能运行。在今天早些时候发布的一篇X帖子中，Eriksen还警告以太坊名称服务（ENS）团队，他们的几个软件包受到了影响。

Shai Hulud是更广泛的供应链攻击趋势的一部分。今年九月初，迄今为止报告的最大NPM攻击中，黑客仅窃取了5000万美元的加密货币。亚马逊网络服务指出，这次首次攻击后仅一周，Shai-Hulud蠕虫就开始自动传播。

虽然之前的攻击直接针对加密货币以窃取资产，但Shai-Hulud是一种通用的凭证窃取恶意软件，能够在开发者基础设施中自动传播。如果感染的环境中包含钱包密钥，恶意软件将像其他凭证一样窃取它们作为“秘密”。

在所有受影响的软件包中，至少有10个与加密货币行业直接相关，几乎全部与ENS相关，这是一个人类可读的地址名称服务。受影响的软件包包括ENS的content-hash，每周下载量近36000次，91个软件包依赖于它，以及address-encoder，每周下载量超过37500次。

其他受影响的ENS软件包包括ensjs（每周下载量超过30000次）、ens-validation（每周下载量1750次）、ethereum-ens（每周下载量12650次）和ens-contracts（每周下载量近3100次）。一个与ENS无关的加密货币相关软件包，名为crypto-addr-codec，也被攻破，下载量近35000次。

受影响的非加密相关软件包包括由企业自动化平台Zapier提供的一些软件包，其中一个每周下载量超过40000次，其他的也不远。Eriksen在后续帖子中指出其他被感染的软件包，其中一些每周下载量接近70000次，还有另一个软件包每周下载量超过150万次。

“这次新的Shai Hulud攻击的范围实在是太大了；我们仍在处理队列以确认所有情况，”Eriksen在X上写道。

网络安全公司Wiz的研究人员声称已经“发现超过25000个受影响的存储库，涉及约350个独特用户，每30分钟就有1000个新存储库被持续添加。”该公司建议“立即调查和修复”任何使用npm的环境。

相关推荐：Coinbase通过最新DEX收购"加倍押注"Solana

原文: 《 新的NPM供应链攻击危及主要以太坊（ETH）域名服务（ENS）及加密库 》

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。