Ledger 技術長 Charles Guillemet 透過 X 平台發佈安全調查更新結果,指出幸運的是,這次 NPM 攻擊最終以失敗告終,幾乎沒有受害者。
(前情提要:Ledger警告「別交互鏈上合約」:JavaScript套件NPM遭駭,數十億裝置恐感染惡意代碼)
(背景補充:安全公司警告:Perplexity AI 瀏覽器 Comet 恐被隱藏指令操控,洩露隱私資料)
Ledger 技術長 Charles Guillemet 昨(8)日發出的緊急警報一度讓加密社群瞬間陷入恐慌,Guillemet 在 X 上表示,駭客入侵了 JavaScript 生態系統的核心:NPM 套件庫,將惡意程式碼植入每週下載量逾 20 億次的熱門套件,鎖定加密貨幣用戶的資產。
這場供應鏈攻擊僅短短數行程式碼,即讓整個 Web3 社群頓時籠罩在陰影之下,許多開發者和投資者擔憂資金安全,紛紛暫停鏈上交易。
NPM 攻擊以失敗告終
所幸,Charles Guillemet 於昨(9)日稍晚透過 X 平台發佈安全調查更新結果,指出幸運的是,這次攻擊最終以失敗告終,幾乎沒有受害者。
根據 Guillemet 的詳細說明,攻擊始於一封來自假冒 npm 支援域名的釣魚郵件,竊取了開發者憑證,使攻擊者能夠發布惡意套件更新。注入的程式碼針對網路加密活動,侵入以太坊、Solana 等區塊鏈以劫持交易,並直接在網路回應中替換錢包地址,讓用戶不知不覺中將資金轉移至駭客控制的帳戶。
不過,攻擊者的錯誤導致 CI/CD 管道崩潰,這使得攻擊在早期就被發現,影響範圍極為有限。不過 Guillemet 強調,這仍是一個明確的提醒:如果你的資金存放在軟體錢包或交易所,你距離失去一切僅一步之遙。供應鏈攻擊仍是強大的惡意軟體傳播途徑,眼前的危險或許已經過去,但威脅依然存在。
Update on the NPM attack: The attack fortunately failed, with almost no victims.🔒
It began with a phishing email from a fake npm support domain that stole credentials and gave attackers access to publish malicious package updates. The injected code targeted web crypto activity,… https://t.co/Ud1SBSJ52v pic.twitter.com/lOik6k7Dkp
— Charles Guillemet (@P3b7_) September 9, 2025
資安問題不容忽視
所幸此次攻擊以失敗告終,但在加密貨幣領域,保護資產安全,也是每一個用戶需要時刻做好的功課。對用戶而言,為保護加密資產安全,許多專家都已建議使用硬體錢包,將私鑰儲存於離線環境;同時,每次進行鏈上交易前,務必要透過硬體錢包的透明簽署功能,仔細核對交易細節(如金額、地址),避免盲簽導致資金被轉至駭客地址;此外,還可啟用 2FA 驗證,優先選擇硬體金鑰或認證應用,並將種子短語以紙本形式離線儲存,切勿數位化保存。
一言以蔽之,保持警惕是關鍵:不點擊來源不明的釣魚郵件或連結,並追蹤可信來源以獲取安全警報,才可大大降低遭遇駭客攻擊的可能。
