供應鏈攻擊波及加密貨幣！惡意程式 Shai Hulud 入侵 ENS 等區塊鏈基礎建設

根據 Aikido Security 的部落格於 6 日（當地時間）的揭露，一場針對 JavaScript 生態系的供應鏈攻擊正迅速蔓延至「加密貨幣」產業，並已入侵數百個開源套件，其中至少 10 個與「區塊鏈」或 Web3 項目有直接關聯。該公司指出，這波攻擊與一類名為「Shai Hulud」的惡意程式有關，具備自我複製功能，透過知名 NPM 套件註冊庫擴散，傳播速度快、難以察覺。

Aikido Security 資安研究員 Charlie Eriksen 表示，他們手動檢查了超過 400 個疑似遭到感染的套件，並極力減少誤報情況。他警告說，這些惡意套件早已被開發者誤當成正常資源而下載，導致超過萬次的周下載次數，全數來自深度仰賴 JavaScript 生態系統的加密項目。

根據 Aikido Security 的分析，有部分遭感染的套件來自「以太坊」基礎建設計畫 Ethereum Name Service（ENS）依賴的模組。Eriksen 甚至於同日透過 X（前推特）提醒 ENS 團隊提高警覺。ENS 被廣泛應用於 NFT 市場及多數加密項目，其核心功能是將以太幣(ETH)錢包地址轉換成易讀的區塊鏈網域，若基礎架構遭入侵，影響層面將不容小覷。

「供應鏈攻擊」並非直接針對特定目標，而是透過整合在開源專案中的第三方工具進行間接滲透，使得偵測與阻擋變得更加困難。隨著絕大多數加密項目倚賴開源模組、智慧合約函式庫與社群資源，這類風險正逐步升高，引發開發者社群的高度警覺。

目前尚未明確統計受害範圍，但資安社群普遍認為，此類事件且波及如 ENS 等「鏈上基礎建設」，將可能產生連鎖效應。多數業界預期，加密業界將加速審查外部依賴模組，並強化其內部「資安防護機制」，納入手動驗證與「新程式碼差異審查」等標準流程。

評論：此次事件反映出「去中心化」與「開放原始碼」雖有其技術優勢，但也暴露出其安全漏洞。JavaScript 生態中的套件重複利用與信任傳遞，讓攻擊者能透過小小入口達成大規模滲透，未來若不強化「供應鏈資安」，繼續擴建 Web3 世界將面臨重大瓶頸。

關鍵詞：加密貨幣、區塊鏈、ENS、以太幣、安全漏洞、供應鏈攻擊、Shai Hulud、NPM、資安風險、開源軟體