廣泛的 JavaScript NPM 攻擊在加密生態系統中傳播自我複製的惡意軟件

一場廣泛的JavaScript供應鏈攻擊已滲透超過400個軟體套件，涉及多個產業，資安研究人員指出在加密貨幣相關基礎設施中存在深度曝露。Aikido Security的調查結果揭示了一個令人擔憂的模式：攻擊者部署了Shai Hulud，一種高階的自我複製惡意軟體，旨在自主在開發者環境中傳播並提取敏感憑證。

攻擊範圍與技術機制

該惡意軟體的運作方式與先前的NPM供應鏈事件不同。它並非直接針對數位資產，而是作為一個憑證收集器，系統性地竊取錢包金鑰、API令牌和認證秘密，從感染的開發系統中提取。每次偵測都經過驗證以排除誤報，根據研究人員Charlie Eriksen在社群媒體上的披露。

規模依然令人震驚。資安公司Wiz指出，約有25,000個被攻陷的儲存庫，屬於大約350位不同用戶，每半小時就有1,000個新感染的儲存庫出現。這種自主傳播方式使得目前的威脅與去年九月的事件不同，當時攻擊者手動提取了$50 百萬美元的加密貨幣後便停止。

加密貨幣基礎設施遭受圍攻

至少有十個服務區塊鏈產業的套件成為受害者，主要與Ethereum Name Service (ENS)基礎設施相關。受影響的生態系統包括廣泛分佈的庫，如：

• content-hash：每週約36,000次下載
• address-encoder：每週超過37,500次下載
• ensjs、ens-validation、ethereum-ens、ens-contracts：全部受到影響

除了ENS相關工具外，攻擊還波及crypto-addr-codec，一個獨立的密碼學工具，每週下載量接近35,000次。這些套件作為數百個下游專案的基礎依賴，擴大了開發社群的風險曝露。

更廣泛的影響評估

這次攻擊不僅限於加密貨幣應用。知名受害者還包括企業自動化平台如Zapier，某些受影響的套件每週下載量超過40,000次。有些被攻擊的庫報告每週下載量達1.5百萬次，顯示出可能影響數千個終端應用的潛在風險。

Eriksen將此次事件的範圍描述為「巨大」，調查工作仍在進行中，以確定完整的影響範圍。資安研究人員的立即建議是對所有使用npm基礎設施的開發環境進行全面審查，並緊急進行憑證輪換與供應鏈修復措施。