最近曝光了一起重大供應鏈攻擊，針對廣泛使用的JavaScript軟體庫，可能在前所未有的規模上危及加密貨幣安全。根據行業消息來源，這起事件被稱爲歷史上同類事件中最廣泛的一起，惡意軟件被注入以通過更改錢包地址來操縱加密貨幣交易。
攻擊向量涉及到一個知名開發者的節點包管理器(NPM)帳戶的被攻破，使得惡意行爲者能夠偷偷將有害代碼嵌入流行的JavaScript庫中。這些庫是數百萬個應用程序的核心組件，使得大量項目處於風險之中。
惡意軟件的主要功能似乎是通過地址操控攔截和重定向加密貨幣交易。此次漏洞特別影響了諸如chalk、strip-ansi和color-convert等軟件包——這些小但至關重要的工具深深嵌入無數項目的依賴樹中。隨着這些庫每週累計超過十億次下載，其潛在影響遠遠超出直接用戶，可能影響未明確安裝這些軟件包的開發者。
NPM作爲開發者的中央樞紐，類似於一個應用市場，促進了JavaScript項目構建中代碼片段的共享和獲取。惡意軟件被識別爲加密剪貼板，它通過在交易過程中祕密替換錢包地址來運作，有效地重新路由資金。
安全專家已發出警告，特別是針對軟體錢包的用戶，強調他們的脆弱性增加。相反，通過硬體錢包驗證每筆交易的個人則保持了一定的保護層。惡意軟件的能力的全部範圍，包括可能試圖直接訪問種子短語，仍在調查中。
這一情況仍在發展中，隨着更多信息的獲得，將提供進一步的更新。該事件強調了