npm账户遭入侵引发大规模供应链攻击 仅窃取数美元加密货币

近日，一名身份不明的黑客通过入侵知名JavaScript开发者“qix”的npm账户，发动了一场可能是有史以来最大规模的软件供应链攻击。然而，尽管攻击波及范围极广，实际获利却微乎其微，甚至不及部分memecoin的单日交易量。

9月8日，黑客成功获取权限后，在数十种广泛使用的构建工具中植入恶意代码。这些工具每周下载量超过20亿次，覆盖大量网站与应用程序。由于开发依赖项通常自动更新且无需人工审查，恶意版本迅速传播，引发广泛担忧。

该恶意代码并非传统病毒，而是设计用于从用户浏览器中的加密钱包中提取资金。它通过篡改网络请求中的地址，诱导用户向攻击者钱包转账，进一步扩大危害面。

供应链风险暴露

合规与威胁管理平台Nominis创始人兼首席执行官Snir Levi指出，现代软件生态高度互联，一个被攻陷的npm账户可在几分钟内影响数千项目和企业。他强调：“代码重用是整个生态系统的支柱，但这也意味着信任链一旦断裂，后果可能蔓延至全球。”

以太坊与索拉纳安全联盟在事后发布的博客文章中披露，黑客创建了伪造账户，并将目标收款地址替换为其个人钱包地址。同时，恶意脚本还尝试通过相似字符地址劫持流量，提升攻击成功率。

“一代人的失误”：损失远低于预期

尽管理论上可造成巨额损失，实际结果却令人震惊——安全联盟数据显示，黑客仅成功窃取约0.05美元的以太坊及20美元的memecoin。而同期相关资产的交易量已达588美元。

匿名白帽黑客、安全联盟创始人samczsun在X平台上评论称，此次事件堪称“一代人的失误，我们可能永远不会再看到这样的失误”。他认为，攻击者虽具备强大能力，但策略上存在明显疏漏，导致收益极低。

数字资产恢复公司Circuit首席执行官Harry Donnelly表示，这并非孤立事件。他警告：“加密供应链中仍存在大量依赖关系与未修复漏洞，未来类似攻击极有可能再次发生。”

Donnelly强调，即使是看似无害的开源包更新，也可能成为攻击入口。因此，建立自动化检测机制、加强依赖项审计，对于防范资金被盗至关重要。

此次事件再次凸显“区块链分析”在识别异常行为中的关键作用。尽管攻击未造成重大财务损失，但其潜在破坏力警示行业必须重新审视软件供应链的安全边界。