史上最大 NPM 供應鏈攻擊！核心 JS 函式庫遭入侵，加密用戶資金恐被劫

全球 JavaScript 生態正面臨史上最大規模的 NPM 供應鏈攻擊。駭客入侵了一位知名開發者的 Node Package Manager (NPM) 帳號，將惡意程式碼注入到數百萬應用程式依賴的核心 JavaScript 函式庫中，目標直指加密貨幣用戶的錢包資金。

攻擊細節：核心函式庫被植入「加密剪輯器」

根據多方安全報告，受影響的套件包括 chalk、strip-ansi 和 color-convert 等小型實用程式，它們深藏於無數專案的依賴樹中，每週下載量超過 10 億次。

惡意功能：在交易過程中悄悄替換加密錢包位址（俗稱「加密剪輯器」）

潛在風險：用戶在不知情的情況下，將資金轉入駭客控制的地址

Ledger 首席技術官 Charles Guillemet 警告：「整個 JavaScript 生態系統可能都處於危險之中。」

加密用戶成為高危目標

安全研究人員指出，依賴 軟體錢包 的用戶風險最高，因為惡意程式碼可在網頁或應用中竄改交易細節。

硬體錢包用戶則相對安全，因為每筆交易需在實體設備上確認。

DefiLlama 創辦人 0xngmi 提醒，惡意程式碼不會自動清空錢包，但會在用戶點擊「交換」或「確認」時竄改交易內容

由於用戶無法輕易辨別哪些網站已更新安全版本，專家建議暫停在不確定安全性的網站上進行加密交易，直到受影響套件被全面清理。

攻擊手法：釣魚郵件奪取維護者帳號

（來源：Github）

攻擊者透過偽裝成官方 NPM 支援的釣魚郵件，誘騙維護者在假網站更新雙重認證，進而竊取登入憑證。

一旦取得帳號控制權，駭客便能向下載量達數十億次的套件推送惡意更新。

Aikido Security 研究員 Charlie Eriksen 表示，此次攻擊危險之處在於它能「同時竄改網站顯示內容、API 呼叫，以及用戶應用程式認為正在簽署的交易資料」。

為何這是「史上最大供應鏈攻擊」？

影響範圍廣：波及數百萬應用程式與網站

滲透深度高：核心函式庫位於依賴鏈底層，即使未直接安裝也可能受影響

針對性強：專門鎖定加密交易與錢包資金

這意味著，從前端開發者到最終用戶，整個鏈條都可能成為攻擊目標。

结语

這起 NPM 供應鏈攻擊再次凸顯了 開源生態的脆弱性 與 加密市場的高風險性。對開發者而言，應立即檢查並回滾至安全版本；對加密用戶而言，短期內應避免在不確定安全性的網站上進行交易，並盡量使用硬體錢包進行資產管理。