新的NPM供应链黑客攻击威胁ENS和加密货币安全

主要供应链攻击瞄准与加密货币相关的软件包

一场重大的JavaScript供应链攻击已影响超过400个软件包，其中至少有10个在加密货币生态系统中被广泛使用。该漏洞是由网络安全公司Aikido Security发现的，突显了开发者和用户面临的不断演变的威胁形势。

在一篇详细的博客文章中，研究员Charlie Eriksen概述了感染的范围，确定了感染了“Shai Hulud”恶意软件的包——一种旨在在开发者环境中传播的自主自我复制菌株。Eriksen确认了每个检测的有效性，以防止误报。这些包中的许多负责关键功能，其中一些每周下载量达到数万次，强调了广泛的潜在影响。

特别关注的是与以太坊名称服务(ENS)相关的受影响包，这些包促进了人类可读的区块链地址。值得注意的是ENS的内容哈希，周下载量接近36,000，以及地址编码器，周下载量超过37,500。其他ENS包，如ensjs、ens-validation、ethereum-ens和ens-contracts也受到影响。一个与ENS无关的单独包crypto-addr-codec，周下载量接近35,000，也受到影响。

来源：查理·埃里克森

这一事件是供应链攻击的一个更广泛趋势的一部分。在九月份，迄今为止最大的NPM攻击导致约$50 百万加密货币资产被盗。亚马逊网络服务强调，这一事件之后，Shai-Hulud虫传播开来，在初始侵入后在各个环境中自我复制。

与之前的针对性盗窃不同，Shai Hulud主要作为凭证窃取者，自主传播并收集感染环境中存储的钱包密钥和其他秘密。如果这些秘密存储不安全，这种能力对区块链资产的安全构成重大威胁。

受影响包的范围

在受影响的包中，至少有10个与加密货币功能直接相关，主要与ENS生态系统相关。像content-hash这样的包，每周下载量接近36,000，而address-encoder的下载量超过37,500，是开发人员用于处理地址和名称解析的关键组件。其他受影响的关键包包括ensjs、ens-validation、ethereum-ens和ens-contracts。

除了加密货币，还有几个非加密货币软件包受到影响，包括来自 Zapier 的热门工具，如 @zapier/secret-scrubber，每周下载量超过 40,000 次。Eriksen 警告说，受影响的软件包下载量很高，有些接近每周 70,000 次，突显了恶意软件的广泛影响。

Wiz的研究人员估计，超过25,000个代码库受到影响，涉及数百名用户，每30分钟就会增加新的受损代码库。网络安全界呼吁对任何使用npm包的环境进行立即调查和补救措施。

本文最初发布于《新的 NPM 供应链黑客威胁 ENS 和加密货币安全》，来自加密货币快讯——您可信赖的加密新闻、比特币新闻和区块链更新来源。