NPM供应链漏洞威胁加密资产 安全专家警告资金被盗风险

重大供应链漏洞暴露加密生态脆弱性

Ledger首席技术官查尔斯·吉列梅周一在X平台发出紧急警告，指出一个被广泛使用的JavaScript包管理器NPM中发现严重供应链漏洞，可能导致大量加密货币用户面临资金被盗风险。该漏洞源于一个被攻陷的开发者账户，恶意代码已通过多个流行软件包传播。

恶意代码如何窃取资金？

据区块链安全公司Blockaid披露，受影响的软件包包括“color-name”和“color-string”等基础工具，这些是无数前端项目的核心依赖。一旦集成，恶意载荷可在用户发起交易时悄然替换目标地址，将资金转至攻击者钱包，而用户需手动确认交易，这为识别异常提供了窗口期。

漏洞影响范围与应对措施

相关恶意代码已被下载超过10亿次，影响范围覆盖几乎所有主流区块链生态。虽NPM已禁用受感染包并移除恶意补丁，但开发人员仍应检查项目依赖项，防止已有缓存版本造成二次风险。有安全专家建议，当前应暂停签署任何加密交易以规避风险。

行业反思：开源信任链的隐患

Loopscale联合创始人玛丽·古纳拉特尼指出，此次事件凸显了加密行业对Web2开源生态的深度依赖。即便仅存在数小时，此类漏洞也足以引发大规模危害。她强调，必须加强代码审计机制，并推动自动升级防护策略，确保系统安全性。

事件后续与官方回应

涉事账户“qix”所有者在GitHub上表示已遭双因素验证邮件劫持，账户被盗。其已联系NPM团队协助处理，目前恶意包已在多数站点下架。解密尚未获得NPM正式回复，但多方正持续跟进事件进展。

关键提示：用户应采取的防范措施

• 立即审查项目中所有NPM依赖项
• 避免使用未经验证的第三方库
• 启用双重身份验证并定期更新凭证
• 暂不进行高价值交易，直至确认环境安全

此事件再次印证了区块链分析的重要性，也警示整个行业需建立更严格的网络安全事件响应机制。随着市场趋势向去中心化应用深化，保障供应链漏洞的安全已成为不可忽视的核心议题。