通過JavaScript軟件包的供應鏈黑客攻擊正在擴散…ENS等加密貨幣基礎設施亦遭感染

針對JavaScript生態系統的供應鏈攻擊正迅速蔓延至加密貨幣行業。近日網路安全公司Aikido Security披露，名爲"沙蟲"的惡意軟件已感染至少數百個軟件包，其中至少有10個與加密項目密切相關。

Aikido Security研究員查理·埃裏克森於6日通過公司博客表示，已確認超過400個疑似感染軟件包。他強調通過人工逐一驗證感染情況，將誤報率降至最低。

本次供應鏈攻擊通過JavaScript包管理平台NPM註冊表傳播，屬於自復制型惡意軟件。由於潛伏在普通開發者毫無戒備下載使用的開源軟件包中進行傳播，感染速度與影響範圍極快。特別是多個與加密貨幣社區相關的軟件包受到影響，其中不少是周下載量達數萬次的熱門模塊。

埃裏克森當日還在X平台向以太坊域名服務發出感染風險警告。他指出ENS使用的部分軟件包同樣遭到感染。ENS作爲提供基於以太坊的互聯網地址服務的核心基礎設施，被衆多加密項目和NFT市場所採用。

供應鏈攻擊不直接針對特定組織，而是通過向廣泛使用的開發工具或庫中植入惡意代碼實現間接滲透。這種攻擊方式難以檢測且危害規模可能更大，安全行業始終對此保持高度警惕。鑑於本次事件中基於開源的加密貨幣項目大多使用第三方軟件包，整個市場的緊張情緒正在升溫。

加密貨幣開發者和企業預計將借此事件開展依賴外部軟件包的安全性檢查，並強化安全協議措施。截至目前具體損失規模尚未明確，但若涉及ENS等核心服務項目，其影響或將持續一段時間。

文章摘要由TokenPost.ai提供

🔎 市場解讀

隨着作爲開放網路生態基石的開源技術成爲黑客攻擊源頭，去中心化技術的脆弱性再次凸顯。若智能合約或錢包後端等廣泛使用的軟件包遭感染，可能對用戶資產保護構成重大威脅。

💡 戰略要點

• 檢查各項目依賴包清單並加強人工驗證流程

• 使用含新代碼的外部庫時需增加安全程序

• 需對ENS等重要基礎設施開展集中漏洞診斷

📘 術語解釋

供應鏈攻擊：通過攻擊目標所需的軟件或服務而非直接攻擊最終目標來實現間接滲透的網路攻擊技術

NPM：JavaScript生態廣泛使用的軟件包管理系統，多數基於網路的加密項目均採用該體系

ENS：將以太坊錢包復雜地址轉換爲可讀域名形式的系統

TP AI注意事項

本文採用TokenPost.ai語言模型進行文章摘要生成，可能存在遺漏主要內容或與事實不符的情況。