摘要
Ledger首席技术官Charles Guillemet报告称,一名知名开发者的NPM账户遭入侵,导致发生重大供应链攻击。受影响的软件包累计下载量超过10亿次,包含可篡改加密货币地址并窃取资金的恶意代码。Guillemet强调,使用硬件钱包并在签名前验证每笔交易的用户不会受到影响,因为Ledger及其他支持明文签名的设备未受此攻击影响。但他警告,使用软件钱包的用户在情况澄清前应暂时避免链上交易,并指出是否有种子短语遭直接盗取尚存不确定性。
术语与概念
- 供应链攻击: 一种网络攻击方式,针对软件开发或分发流程,在可信软件包中注入恶意代码。
- NPM(Node Package Manager): JavaScript生态系统中广泛使用的包管理器,负责分发可重复使用的代码模块。
- 加密货币地址替换: 一种恶意手段,恶意软件将交易中原本的收款加密货币地址替换为攻击者的地址,从而转移资金。