NPM 漏洞突显加密用户的脆弱性
realtime news Sep 11, 2025 16:59
最近的 NPM 漏洞暴露出广泛使用的 JavaScript 库中的漏洞,影响了加密用户,并强调了在软件开发中采取严格安全措施的必要性。
最近,一个名为 'qix' 的知名开发者的 Node Package Manager (NPM) 帐户被破解,引发了 JavaScript 和加密货币社区的强烈反响。据 Galaxy.com 报道,该漏洞发生在 2025 年 9 月 8 日,暴露了软件供应链中的漏洞,可能对加密用户造成严重后果。
事件及其影响
被破解的 NPM 帐户允许攻击者发布恶意版本的流行 JavaScript 库,如 'chalk' 和 'strip-ansi',这些库每周的下载量超过十亿次。这些库对许多项目都是不可或缺的,包括 Web3 和加密领域的项目,这使得该漏洞令开发者和投资者倍感担忧。
在加密货币生态系统中,JavaScript 通过 NPM 的支持,在前端界面和其他组件的开发中扮演着关键角色。受污染的软件包很容易渗透到多个项目中,对加密交易和应用的完整性构成重大威胁。
发现和响应
Ledger 的 CTO Charles Guillemet 是最早强调该漏洞的人之一,该漏洞在软件工程师 JD Stärk 的一份详尽报告中有所描述。尽管可能造成广泛影响,但包括 Ledger、MetaMask 和 Uniswap 在内的几个主要平台报告称没有显著影响。这些平台将其安全措施(如版本钉扎和威胁检测机制)归功于降低风险。
攻击影响有限的部分原因是 NPM 社区和加密生态系统的迅速行动。开发者发布了受影响软件包的清洁版本,而像 Etherscan 这样的工具则标记了恶意地址,帮助遏制了这一威胁。
理解攻击向量
攻击者采用了两种主要策略:被动地址替换和主动交易劫持。两种方法都涉及用攻击者控制的地址替换合法的钱包地址,旨在转移加密交易中的资金。虽然攻击大多没有成功,但它揭示了软件供应链中的漏洞及更重大漏洞发生的潜在可能性。
汲取的教训和保护措施
此事件为使用软件开发和加密货币的健全安全实践的重要性敲响了警钟。开发者被敦促升级到修正后的软件包版本、实施版本控制并严格监督他们的代码库。同时,加密用户应禁用盲签名、仔细验证交易详情,并使用地址白名单来保护他们的资产。
尽管 NPM 漏洞已被控制,但这突显出在不断发展的加密货币和软件开发领域中不断保持警惕和采取积极安全措施的关键需求。
Image source: Shutterstock.jpg)