Ledger 首席技术官 Charles Guillemet 发出紧急警告,NPM 平台上一位知名开发者的账号遭遇黑客入侵,引发了一场大规模的供应链攻击事件。这场攻击波及范围极其广泛,已影响超过 10 亿次下载的 JavaScript 包,极有可能对整个 JavaScript 生态系统造成严重冲击。攻击者通过在受信任的第三方包中暗藏恶意代码,实时篡改用户的加密地址,从而盗取数字资产。
Guillemet 强烈建议所有未使用硬件钱包的用户立即暂停所有链上交易活动,以避免资金损失。同时,他呼吁广大开发者尽快对项目依赖项进行全面排查,确保没有引入受感染的包。尽管 NPM 已迅速禁用所有受影响版本的包,但部分前端应用仍可能存在潜在风险,需要引起高度警惕。
此次事件再次凸显了软件供应链安全的重要性,任何环节的疏忽都可能引发灾难性后果。对于开发者而言,定期更新依赖项、使用安全工具进行扫描,已成为保障项目安全的必要措施。而对于普通用户来说,增强安全意识、采用硬件钱包等防护手段,也是保护自身资产的关键。这场攻击不仅是对 NPM 平台的考验,更是对所有软件开发者的一次警示:在数字化时代,安全永远不能妥协。