於9月8日,在NPM生態系統中發現了一次重大的軟體供應鏈攻擊,影響了數個廣泛使用的JavaScript函式庫。此事件首次引起公眾注意,是因Ledger的首席技術官Charles Guillemet發出警告,指出一個受信任開發者的Node Package Manager帳戶已被入侵。初步評估顯示,超過十億次的下載暴露於旨在竊取加密貨幣的隱藏惡意軟體之下。然而,後續調查揭示,受影響的套件總計每週下載量超過26億次。
供應鏈攻擊暴露超過20億
供應鏈攻擊暴露超過20億
此次攻擊的目標是一名被稱為「qix」的開發者帳戶,他維護著數個流行的JavaScript函式庫,包括chalk、strip-ansi、color-convert和debug。這些函式庫在伺服器端和前端環境的無數專案中都有使用。攻擊者透過一個假的支援電子郵件入侵了該帳戶,並向約18個套件推送了惡意更新。由於自動化的依賴安裝,惡意軟體在入侵後數小時內迅速傳播。
Guillemet解釋,惡意程式碼的設計目的是在交易過程中靜默替換加密貨幣錢包地址。這使得依賴軟體錢包的玩家面臨資金損失的風險,如果他們在未察覺收款地址已被更改的情況下批准交易。
惡意軟體 Crypto Clipper 和 MetaMask
安全研究人員將此惡意軟體識別為一種「加密剪貼器」。它的運作方式是在交易的不同階段替換錢包地址。在未偵測到錢包的情況下,惡意軟體透過掛鉤fetch和XMLHttpRequest等瀏覽器函式,修改去中心化應用程式中的傳出數據。這使得它能夠掃描並更改應用程式數據中的地址。
如果偵測到如MetaMask這樣的錢包擴充功能,惡意軟體會變得更加直接,在交易簽署前進行攔截。它會修改記憶體中的錢包地址,以便當玩家審查交易時,欺詐地址已然就位。該惡意軟體依賴Levenshtein演算法,該演算法能生成與原始地址非常相似的地址。這種相似性降低了玩家識別變更的可能性。
供應鏈攻擊暴露超過20億
攻擊的最初跡象
開發者首次遇到攻擊跡象,是當建置系統回報了意外的錯誤訊息。進一步檢查一個名為error-ex的依賴項,發現其中包含混淆的程式碼,並有一個名為checkethereumw的可疑函式,這表明攻擊目標是Ethereum錢包。分析師後來證實,惡意軟體包含指向多個區塊鏈上的錢包地址的參考,包括Bitcoin、Ethereum、Solana、Tron、Litecoin和Bitcoin Cash。
受影響的套件中,有些是JavaScript生態系統中最廣泛使用的。Chalk單獨每週下載量超過3億次,debug超過3.5億次,strip-ansi超過2.6億次。總計,受影響的函式庫每週總下載量超過26億次,這突顯了對開發者社群影響的深度。
硬體錢包 vs 軟體錢包
儘管許多受感染的函式庫與加密貨幣專案沒有直接關聯,但它們整合到依賴鏈中意味著即使是不相關的應用程式也可能暴露。與加密貨幣錢包和去中心化應用程式互動的專案被認為處於最高風險等級。
根據Guillemet的說法,擁有清晰簽署功能的硬體錢包玩家仍然是安全的,因為這些設備允許他們在批准前驗證每一筆交易。相比之下,軟體錢包玩家面臨更大的風險,並被建議在依賴項完全審查和 secured 之前,保持極度謹慎。
尋找攻擊者和被盜資金
攻擊者的加密貨幣地址已被識別,並且由於公共區塊鏈的透明度,正在被積極監控。與該操作相關的主要Ethereum地址是0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976,以及其他幾個備用地址。在報導時,被盜資金尚未轉移。這種監控提供了持續分析的機會,儘管被盜資產的全部範圍仍不清楚。
供應鏈攻擊暴露超過20億
JavaScript 和社群角色
JavaScript和web3社群已迅速採取行動來遏制此事件。受影響套件的惡意版本已大部分從註冊表中移除,但對於可能仍依賴其鎖定檔案中過時版本的專案,風險依然存在。開發者被敦促審查他們的依賴項,鎖定安全版本,並重新安裝乾淨的建置,以防止進一步暴露。
安全專業人士還建議開發者輪換憑證,對NPM和GitHub等帳戶強制執行雙因素驗證,並使用npm ci等確定性安裝方法來維持嚴格的版本控制。此外,建議玩家仔細驗證所有加密貨幣交易,特別是如果依賴軟體錢包。
最終想法
此次事件被描述為影響NPM生態系統的最廣泛的洩漏之一。儘管社群的反應相對迅速,但此次攻擊凸顯了現代軟體供應鏈的脆弱性,以及廣泛依賴開源組件所帶來的風險。
正如Guillemet所強調的,在簽署前審查每一筆交易仍然至關重要。這次洩漏提醒我們,即使是嵌入在應用程式基礎架構深處的小型函式庫,在被入侵時也可能成為重大的攻擊媒介。對於開發者和玩家而言,持續的警惕性現在是維持web3和軟體開發生態系統安全的重要組成部分。
