9月9日,Ledger首席技术官Charles Guillemet在社交媒体上发文指出,NPM攻击事件未能成功,仅造成少量用户损失。攻击者通过伪造npm支持域名的钓鱼邮件窃取开发者凭证,发布包含恶意代码的软件包更新。开发者qix成为钓鱼攻击目标,多个热门npm包被植入恶意代码。该恶意代码针对以太坊、Solana等区块链网络实施交易挟持,并在网络响应中替换钱包地址。由于攻击者操作失误导致CI/CD流程崩溃,攻击被提前阻止,影响范围受限。Guillemet强调,此次事件警示软件钱包及交易所存储资金存在高风险,单次代码执行失败即可导致全部资金损失。供应链安全漏洞仍是恶意软件传播的主要途径,针对性攻击持续增加,尽管当前威胁已解除,但安全风险依然存在,需保持警惕。
