npm软件包遭恶意代码注入 Scam Sniffer与Ledger联合预警

2025-09-09 08:40:29 14

安全机构Scam Sniffer披露，知名开发者qix因钓鱼攻击导致npm软件包被注入恶意代码，受影响的chalk、strip-ansi、color-convert等核心依赖库已通过挂钩钱包功能、篡改ETH/SOL交易收款地址及替换网络响应中的地址实施攻击。建议用户在钱包界面核对收款人及金额、检查粘贴后地址变化、复查近期交易，高价值操作应优先使用硬件钱包。Ledger CTO Charles Guillemet指出，相关软件包累计下载量突破10亿次，整个JavaScript生态系统可能面临风险，恶意代码可在交易时自动替换加密地址以窃取资金。硬件钱包用户可通过核查交易签名规避风险，非硬件钱包用户应暂缓链上操作，目前尚无证据表明助记词已被窃取。