冷錢包大廠 Ledger 技術長 Charles Guillemet 周一引述研究報告示警,開源軟體生態近日爆發供應鏈攻擊,駭客在多個熱門 NPM 套件中植入惡意程式,並透過這些每周合計下載量超過 26 億次的開源工具,在用戶毫不察覺的情況下劫持加密貨幣交易。
報告指出,知名開源開發者 Josh Junon(qix) 因落入釣魚圈套,導致 Node Package Manager(NPM)帳號遭駭,而他所維護的多個 NPM 套件也因而被植入惡意程式,相關套件包括: chalk(每周下載量 2.9999 億次)、 debug(每周下載量 3.576 億次)和 ansi-styles(每周下載量 3.7141 億次)等。
根據 Charles Guillemet 的說法,這波攻擊的核心手法,是在用戶不知情的情況下,竄改加密貨幣交易中的收款地址,將資金直接發送到駭客控制的錢包。
🚨 There’s a large-scale supply chain attack in progress: the NPM account of a reputable developer has been compromised. The affected packages have already been downloaded over 1 billion times, meaning the entire JavaScript ecosystem may be at risk.
The malicious payload works…
— Charles Guillemet (@P3b7_) September 8, 2025
Charles Guillemet 解釋,NPM 是 JavaScript 生態中最廣泛使用的軟體套件託管平台,能讓開發者輕鬆整合程式功能。然而,一旦開發者帳號遭入侵,駭客就能輕鬆將惡意程式悄悄植入套件,影響範圍極廣。
他指出,惡意程式會攔截交易地址,將用戶輸入的收款地址替換成駭客的地址。換言之,任何去中心化應用(dApp)或軟體錢包,只要內含這些 JavaScript 套件,都有可能受波及,用戶資金隨時面臨遭竊風險。
至於如何因應,Charles Guillemet 建議最可靠的辦法,是使用具備安全螢幕、支援 Clear Signing 的冷錢包。他解釋,這讓用戶能在簽署前清楚檢視交易細節,確認實際收款地址是否正確,有效避免收款地址在「看不見」的情況下被偷天換日。
沒有安全螢幕的冷錢包,或任何不支援 Clear Signing 的錢包,都存在高度風險,因為用戶無法準確驗證交易資訊是否正確。
Charles Guillemet 最後呼籲,這起攻擊事件再次提醒所有用戶,永遠不要盲目簽署交易。
一定要驗證交易資訊、切勿盲簽,並使用帶有安全螢幕的硬體錢包,確保每一次簽署都是 Clear Sign 。
為確保資產安全,《區塊客》提醒讀者進行鏈上交易時,務必要注意:
- 轉帳前逐一核對收款人地址與金額,避免誤轉或遭竄改。
- 貼上錢包地址後再次確認,警惕惡意程式自動替換。
- 定期檢視近期交易紀錄,及早發現異常狀況。
- 大額交易建議優先使用冷錢包(硬體錢包),降低被盜風險。
- 若手邊沒有冷錢包,建議暫時避免進行鏈上交易,以免暴露於風險之中。
免責聲明:本文只為提供市場訊息,所有內容及觀點僅供參考,不構成投資建議,不代表區塊客觀點和立場。投資者應自行決策與交易,對投資者交易形成的直接或間接損失,作者及區塊客將不承擔任何責任。
