NPM供应链漏洞威胁加密资产安全专家警告资金被盗风险

2025-09-09 05:15 loading...

重大供应链漏洞暴露加密生态脆弱性

Ledger首席技术官查尔斯·吉列梅周一在X平台发出紧急警告，指出一个被广泛使用的JavaScript包管理器NPM中发现严重供应链漏洞，可能导致大量加密货币用户面临资金被盗风险。该漏洞源于一个被攻陷的开发者账户，恶意代码已通过多个流行软件包传播。

据区块链安全公司Blockaid披露，受影响的软件包包括“color-name”和“color-string”等基础工具，这些是无数前端项目的核心依赖。一旦集成，恶意载荷可在用户发起交易时悄然替换目标地址，将资金转至攻击者钱包，而用户需手动确认交易，这为识别异常提供了窗口期。

相关恶意代码已被下载超过10亿次，影响范围覆盖几乎所有主流区块链生态。虽NPM已禁用受感染包并移除恶意补丁，但开发人员仍应检查项目依赖项，防止已有缓存版本造成二次风险。有安全专家建议，当前应暂停签署任何加密交易以规避风险。

Loopscale联合创始人玛丽·古纳拉特尼指出，此次事件凸显了加密行业对Web2开源生态的深度依赖。即便仅存在数小时，此类漏洞也足以引发大规模危害。她强调，必须加强代码审计机制，并推动自动升级防护策略，确保系统安全性。

涉事账户“qix”所有者在GitHub上表示已遭双因素验证邮件劫持，账户被盗。其已联系NPM团队协助处理，目前恶意包已在多数站点下架。解密尚未获得NPM正式回复，但多方正持续跟进事件进展。

此事件再次印证了区块链分析的重要性，也警示整个行业需建立更严格的网络安全事件响应机制。随着市场趋势向去中心化应用深化，保障供应链漏洞的安全已成为不可忽视的核心议题。

声明：文章不代表比特之家观点及立场，不构成本平台任何投资建议。投资决策需建立在独立思考之上，本文内容仅供参考，风险自担！转载请注明出处！侵权必究！