新聞 
幣種資訊 
關於我們 
根據 Security Alliance 的消息,於 10 日(當地時間)表示,近期一場透過 JavaScript 函式庫進行的大規模供應鏈攻擊雖造成潛在威脅,但實際遭盜取的加密貨幣價值僅約 7 萬韓元(約 50 美元)。此次攻擊事件中,駭客成功取得知名開發者的 Node Package Manager(NPM)帳號權限,並在該開發者所維護的熱門函式庫中植入惡意程式碼。
根據該函式庫的安全分析,該程式庫過去全球下載次數已超過 10 億次,顯示出其普及程度,也因此造成以太幣(ETH)與 Solana(SOL) 等區塊鏈網路下的錢包面臨潛在風險。值得注意的是,遭駭客用於測試竊資的以太幣錢包地址「0xFc4a48」為唯一被判定為惡意地址。儘管攻擊過程具備高度擴散潛力,實際損失卻十分有限。
Security Alliance 於其 X(原 Twitter)官方帳號上指出,「只要取得一個 NPM 開發者的帳號,就有機會存取每週下載量超過 20 億次的開發工具,從而接觸全球數百萬的開發者工作環境。」他們進一步強調,雖然這次攻擊僅利益 50 美元,「但若真正大規模運作,潛在的財務損失非常可觀,這提醒業界亟需增強對此類攻擊的警覺。」
供應鏈攻擊由於能透過單一入口點輕易滲透整體系統,不僅對加密貨幣產業構成風險,同樣對整個軟體開發生態系亦具威脅。評論:此案例證明,就算是最基本的開發工具都可能遭到入侵,一旦開源專案遭遇信任危機,受影響的將是整體產業。部分專家也建議,業界應加快建立更「完善的安全防護架構」,以避免類似危機重演。
留言 0