2025年9月8日,数字货币安全领域传来重磅消息,一场针对JavaScript生态系统的大规模供应链攻击爆发,令整个互联网开发者和加密用户群体陷入警惕。作为全球领先硬件钱包厂商Ledger的首席技术官Charles Guillemet发出了紧急警告,劝告未持有硬件钱包的用户避免进行任何链上交易,直至风险明确解除。此事件不仅暴露了开源软件生态系统的薄弱环节,也点燃了加密世界对安全防护措施的深度关注。 本次攻击的核心源头是知名npm开源包维护者Josh Goldberg账号遭黑客入侵,黑客随后发布了带有恶意代码的新版本,影响了诸如chalk、debug、strip-ansi和color-convert在内的18个热门JavaScript包。这些包被广泛依赖在全球亿万次的web程序构建中,据npm统计,相关包整体每周下载量超过26亿次,涵盖从开发工具如Babel到代码质量检查工具ESLint等庞大依赖体系。攻击者巧妙利用这一信任链,将名为"crypto-clipper"的恶意代码嵌入包中,从而实现对用户浏览器操作的拦截和操控。
所谓crypto-clipper恶意软件,主要通过截获浏览器对加密钱包的调用,在用户发起链上交易时自动篡改钱包地址,将收款账户替换为攻击者控制的地址。这种攻击手法极具隐蔽性,用户几乎无法察觉,资金极易在签名前被劫持,造成直接的经济损失。部分情况中,恶意代码甚至会主动劫持钱包通信,干扰交易数据,令用户发起的链上交易转入攻击者账户。攻击的复杂逻辑不仅仅是简单地替换字符串,还融合了算法模拟真实钱包地址的外观,迷惑用户和安全审计机制。 这场供应链攻击的规模前所未有,涉及的npm包如chalk每周接近3亿次下载,debug的下载量更是达3.58亿次。鉴于这些库为数以百万计软件项目的基础依赖,该事件对整个开源社区以及最终消费者带来了极大风险。
分析团队发现,攻击通过一场针对npm维护者的钓鱼邮件发起,邮件假冒npm官方支持,督促维护者更新两步验证设置。邮件中的钓鱼链接引导目标登录假冒页面,窃取了账号控制权后,攻击者迅速推送带有恶意代码的新版本。事发后,受影响的版本已陆续被npm下架,但由于广泛的转依赖关系,安全专家担忧全面清理和恢复工作将历时漫长。 Ledger CTO Charles Guillemet在社交媒体上公开指出,硬件钱包用户虽面临风险,但只要严格审查交易详情,仍可保障资产安全。但对于不使用硬件钱包的用户,现阶段则应暂停所有链上交易活动,以避免被植入的恶意软件恶意篡改交易数据。目前尚无法确认黑客是否还通过类似手法窃取钱包恢复种子短语等关键信息,使潜在威胁更加不可预测。
除了开源软件安全问题外,2025年上半年加密行业的黑客攻击频发,加密资产损失累计超过30亿美元,远超2024年全年数据。攻击速度惊人,有些资金在攻击发生后数秒内迅速洗钱转移,令追踪和拦截工作陷入巨大挑战。硬件钱包制造商和加密平台纷纷发布安全警告,提示用户警惕钓鱼邮件及假冒客服行为,避免因轻信陌生邮件导致资金失窃。 严重的安全事件也催生了白帽子黑客漏洞赏金计划的活跃,Immunefi等平台发布了超过1.2亿美元的奖励资金,有效促进漏洞修复,减少潜在损失。然而面对黑客手段日益复杂和资金转移速度惊人的现状,行业整体防护能力仍存在显著短板。 开发者和项目方应立即核查依赖包版本,重建锁定文件,避免使用被污染的包版本,同时借助安全扫描工具强化代码安全审计。
普通用户则需谨慎使用网络钱包和浏览器插件,优先采用硬件钱包进行交易签名,并密切关注官方安全通报,避免通过不明链接登录钱包或交易平台。 这次事件告诉我们,数字资产安全不仅依赖于个人习惯,更关乎整个开源生态的信任体系和供应链安全。每一个节点的脆弱都可能被攻破,带来灾难性后果。未来链上安全防护需要跨机构协作,推动更严格的依赖管理和包发布审核机制,同时加强用户教育,普及硬件钱包的必要性。此外,增加交易签名的多环节透明度和监测预警,有助于尽早发现异常,最大限度减少损失。 总而言之,Ledger CTO的警告敲响了安全警钟,全体加密社区必须提高警惕,避免轻易进行链上交易,尤其是在当前供应链攻击持续发酵的背景下。
技术防护、用户习惯以及供应链审查三者结合,才是抵御黑客暗潮的坚实盾牌。数字资产的未来安全,依赖于每一个环节的严格自律和持续创新。 。
