Ledger 首席技术官警告大规模 NPM 供应链攻击；敦促进行地址检查

‘可能影响所有链’: Ledger 首席技术官警告 NPM 开发者账户被黑

Ledger 的 Guillemet 在 X 上表示，一个信誉良好的开发者的 NPM 账户被破坏，受影响的包下载次数已超过 10 亿次，引发了开发者对暴露问题的担忧。

“正在进行一场大规模的供应链攻击……整个 JavaScript 生态系统可能面临风险，”他在 X 上写道，并补充说恶意代码“在传输中静默更换加密地址以盗取资金”。

他建议那些不使用硬件钱包的人暂时避免进行链上交易，并敦促所有用户在签署交易前审查交易细节。他表示，目前尚不清楚攻击者是否在从软件钱包中窃取种子短语。

“对于使用 Ledger 或其他带有清晰签名的硬件钱包的用户，您没有风险，”Guillemet 补充说，强调清晰签名和手动验证可抵御地址交换恶意软件。

安全媒体也报道了正在进行的NPM 账户遭劫持影响广泛使用的包，一些描述此次攻击活动是迄今为止此类规模最大的一次。Guillemet 表示，影响可能“潜在覆盖所有链”。