Foresight News 消息,慢雾首席信息安全官 23pds 发推表示,「目前发现一起大规模供应链攻击。一位知名开发者的 NPM 账号遭入侵,多个热门第三方包被植入恶意代码,攻击者正尝试窃取加密货币。请各大平台、钱包与开发团队立即自查并排除风险。受影响的包下载量已超过 10 亿次,可能整个 JavaScript 生态系统都可能面临风险。恶意代码的工作原理是在后台静默篡改加密货币地址,以此窃取资金。如果你使用硬件钱包,请仔细核对每一笔签名交易,确保安全。如果你没有使用硬件钱包,建议请暂时避免进行任何链上交易。目前尚不清楚攻击者是否已经在直接窃取软件钱包的助记词,有待进一步确认。」
