開發工具遭供應鏈攻擊！駭客僅盜取約 50 美元加密貨幣卻揭示重大風險

根據 Security Alliance 的消息，於 10 日（當地時間）表示，近期一場透過 JavaScript 函式庫進行的大規模供應鏈攻擊雖造成潛在威脅，但實際遭盜取的加密貨幣價值僅約 7 萬韓元（約 50 美元）。此次攻擊事件中，駭客成功取得知名開發者的 Node Package Manager（NPM）帳號權限，並在該開發者所維護的熱門函式庫中植入惡意程式碼。

根據該函式庫的安全分析，該程式庫過去全球下載次數已超過 10 億次，顯示出其普及程度，也因此造成以太幣(ETH)與 Solana(SOL) 等區塊鏈網路下的錢包面臨潛在風險。值得注意的是，遭駭客用於測試竊資的以太幣錢包地址「0xFc4a48」為唯一被判定為惡意地址。儘管攻擊過程具備高度擴散潛力，實際損失卻十分有限。

Security Alliance 於其 X（原 Twitter）官方帳號上指出，「只要取得一個 NPM 開發者的帳號，就有機會存取每週下載量超過 20 億次的開發工具，從而接觸全球數百萬的開發者工作環境。」他們進一步強調，雖然這次攻擊僅利益 50 美元，「但若真正大規模運作，潛在的財務損失非常可觀，這提醒業界亟需增強對此類攻擊的警覺。」

供應鏈攻擊由於能透過單一入口點輕易滲透整體系統，不僅對加密貨幣產業構成風險，同樣對整個軟體開發生態系亦具威脅。評論：此案例證明，就算是最基本的開發工具都可能遭到入侵，一旦開源專案遭遇信任危機，受影響的將是整體產業。部分專家也建議，業界應加快建立更「完善的安全防護架構」，以避免類似危機重演。