Web3起点网npm核心包遭恶意代码注入,Scam Sniffer警示JavaScript生态风险
9月9日,安全机构Scam Sniffer披露,知名开发者qix因遭遇钓鱼攻击导致npm生态多个核心软件包被植入恶意代码,受影响的开源库包含chalk、strip-ansi及color-convert等。攻击手段通过劫持钱包交互功能,篡改以太坊/Solana交易的收款地址,并替换网络响应中的地址数据。官方建议用户严格核对钱包界面的收款方与金额、检查地址粘贴变动、复查近期链上交易,高价值操作优先采用硬件钱包。
据Ledger首席技术官Charles Guillemet分析,相关软件包累计下载量突破10亿次,表明JavaScript技术栈存在系统性风险。恶意代码可在交易确认环节静默替换加密地址实施资金窃取,硬件钱包用户可通过验证交易签名规避风险,非硬件钱包持有者被建议暂停链上操作。目前尚无证据表明攻击者已获取用户助记词信息。