Flamingo Finance 已确认其未受到最近两起 npm 供应链入侵事件的影响。第一起事件针对加密货币用户,攻击者向 18 个广泛使用的 JavaScript 套件中注入了钱包劫持程式码。
几天后,另一项活动利用自我复制的蠕虫病毒破坏了 40 多个软体包。
什么是供应链攻击?
当恶意程式码被引入到其他人所依赖的软体元件中时,就会发生供应链攻击。由于开源库在无数专案中重复使用,因此一次入侵就可能在整个生态系统中广泛传播。
现代开发实践只会加剧风险。应用程式通常依赖数百个小型程式库,而这些程式库仅由少数人维护。随著人工智慧辅助编码自动引入更多软体包,依赖项的数量(以及攻击面)持续成长。
恶意软体的工作原理
在这起以加密货币为重点的事件中,攻击者控制了一个维护者帐户,从而获得了npm的发布存取权限,并利用该帐户推送恶意程式码。该事件被安全公司Aikido和Socket侦测到,并指出此攻击可能影响每周数十亿次下载。
第一个恶意软体使用了基于浏览器的拦截器。它勾住了fetch 、 XMLHttpRequest和钱包 API 等核心函数,扫描 EVM 转帐请求。当侦测到交易时,它会悄悄地将目标位址替换为攻击者控制的位址,并使用相似的位址来避免引起怀疑。
几天后发现的蠕虫病毒却另有目的。它从开发者环境中窃取 npm 令牌、SSH 金钥和其他凭证,然后将自身重新发布到其他软体包中。虽然它并非直接针对加密货币,但它展现了单一漏洞在注册表中造成连锁反应的速度之快。
对加密货币用户的影响
攻击者最初的目标锁定在相容以太坊的钱包上,例如Metamask。尽管受感染的钱包范围广泛,但区块链监控器追踪到流向攻击者地址的资金不足 500 美元。
专家认为快速的检测和回应限制了损失。
Flamingo Finance 表示,它并未受到影响,因为其去中心化交易所不依赖 EVM 的直接转帐流程。相反,它只使用 EVM 进行跨链操作,而恶意软体并未尝试利用这一点。
结构性风险
这两起事件都凸显了开源供应链的脆弱性。一次凭证被盗就可能暴露数十亿次下载。许多此类软体包由个人或小型团队维护,缺乏资源来抵御针对性攻击。
研究人员呼吁加强保护措施,包括强制维护人员使用硬体金钥、更严格的发布权限以及新版本的加密认证。如果没有这些改进,网路钓鱼和凭证窃盗仍将是攻击者的可靠切入点。
保持安全
开发人员的防御措施包括强制执行硬体支援的身份验证、限制发布权限、轮换凭证、固定依赖版本以及扫描建置异常。
在 CI/CD 管道中采用来源证明可以进一步减少风险。
最终用户可以透过将更新延迟到新版本经过审核、尽量减少与钱包连接的应用程式和扩展的数量以及使用硬体或多重签名钱包来存储大量余额,从而降低风险。
