駭客滲透 NPM 套件,影響每週 20 億次下載,Ledger 技術長示警軟體錢包風險急升。
(前情提要:Ledger停止更新Nano S舊款冷錢包 ,老OG用戶暴怒:大量資產遭受威脅)
(背景補充:Bybit竊案後》Safe多簽錢包暫停支援Ledger:將實施額外交易檢查,逐步恢復服務)
開源世界向來標榜透明與速度,如今卻在速度之中留下裂縫。2025 年 9 月 8 日,Ledger 技術長 Charles Guillemet 發出警報:駭客入侵 JavaScript 生態核心—— NPM 套件庫,將惡意程式碼植入每週下載量逾 20 億次的套件,鎖定加密貨幣用戶的資產。短短數行程式碼,讓整個 Web3 社群頓時籠罩在供應鏈攻擊的陰影下。
釣魚信突破 2FA,惡意程式滲入主流套件
這場攻擊始於一封偽裝成 npmjs.org 的釣魚郵件 (npmjs.help)。駭客藉此竊取開發者憑證、繞過二因子驗證,再把後門程式碼寫入 chalk、debug、ansi-styles 等熱門套件。開發者、企業持續自動更新,於是把陷阱端到自身專案裡。當使用者發起鏈上交易,程式會在瀏覽器層或桌面應用靜默替換錢包地址,把 ETH、BTC、SOL 乃至 USDT 轉進攻擊者控制的地址,使用者往往無從察覺。
軟體錢包首當其衝,硬體錢包成最後防線
攻擊針對的是「連網且可執行」的環境,軟體錢包因而風險最高。Guillemet 提醒開發者與用戶:
「如果你使用的是瀏覽器外掛或桌面軟體錢包,暫停所有鏈上操作,直到確認套件已完全修補。」
目前尚未掌握駭客是否同時竊取助記詞,但軟體錢包用戶被建議即刻檢查 node_modules,搜尋關鍵字如 ‘checkethereumw’。相較之下,硬體錢包憑藉獨立螢幕與簽名按鍵,可阻斷地址被竄改;不過,用戶仍需在簽名前仔細核對每個位元組。
開源供應鏈的結構性警訊
根據資安觀察平台彙整,這是加密產業迄今規模最大的供應鏈事件,也暴露三大結構性缺口。第一,開發者憑證保護不足,單點失守即可輻射全球。第二,NPM 目前對程式碼簽章與發布者來源的驗證鬆散,缺乏強制硬體 2FA。第三,企業過度依賴自動化更新,忽略來源審核,導致風險快速擴散。
部分受影響套件已由維護者緊急推出修補,惡意帳戶亦被平台停權。然而 npm 的去中心化特質,意味著舊版殘留依然存在,只要專案鎖檔未更新,就可能繼續散布惡意程式。對開發者而言,要從「信任預設」轉向「持續驗證」,勢必得引入全面性的程式碼簽章與依賴關係掃描。
用戶應對守則與長期路徑
短期來看,用戶可採取三步驟:一、檢查環境並移除可疑版本;二、暫停軟體錢包交易,或改用硬體錢包並啟用明確簽名功能;三、密切留意維護者公告與更新。中長期而言,業界需要在平台層面推動強制硬體二因子驗證、加速程式碼簽章,以及建立「最後一哩」的用戶教育機制。
至於什麼時候可回復交易,建議用戶先查看項目方是否有公告使用 JavaScript 環境建設前後端,或在社群上提起發問,在獲得澄清之前,盡量都先不要交互合約,以免造成財產損失。
📍相關報導📍
Ledger冷錢包官方Discord遭駭!CZ提醒:社群是加密企業最薄弱的一環
