NPM 套件爆加密貨幣竊取風波：供應鏈攻擊波及全球 JavaScript 生態

數百萬開發者仰賴的 JavaScript 生態系統，再次陷入惡意程式的威脅之中。本次攻擊針對廣受歡迎的函式庫，透過植入以竊取「加密貨幣」為目的的惡意程式，波及全球的網站與伺服器應用程式。

根據 BleepingComputer 於 24 日（當地時間）的報導，這起事件屬於典型的「軟體供應鏈攻擊」，攻擊者透過鎖定開源套件託管平台 NPM（Node Package Manager），在 JavaScript 與 Node.js 環境中快速擴散。經安全研究人員指出，攻擊者疑似透過網路釣魚手法，盜用知名開發者「qix」的 NPM 帳號，並在其管理的套件中植入惡意程式，重新發佈更新版本。這些套件包含每週下載量超過 10 億次的基礎函式庫，其影響之大前所未見。

本次植入的惡意程式屬於「加密貨幣地址竊取器（Crypto Clipper）」類型。其主要功能為攔截使用者的加密錢包地址，在進行例如以太幣(ETH)、Solana(SOL) 等轉帳時，偷偷將收款地址替換為攻擊者控制的地址。最令人擔憂的是，即使在未安裝錢包的環境中，攻擊程式也能透過干擾瀏覽器 fetch 或 HTTP 請求的方式劫持網路活動，利用視覺相近的地址進行騙局，使受害者難以發現異常。

攻擊範圍不僅限於網站，更涵蓋桌面應用、行動裝置與伺服器端程式，只要以 JavaScript 為基礎的平台皆可能遭殃。目前已確定遭植入惡意程式的套件包含 chalk、strip-ansi、color-convert、color-name 等，這些皆是廣泛應用於開源專案的底層相依函式庫。

令人關注的是，這起攻擊原本是在一位開發者於自動化建構流程中發現 fetch 為未定義錯誤時，意外揭露的。進一步分析顯示，攻擊者的技術極其成熟，能在使用者完成簽署前即於記憶體中即時竄改交易數據，以轉移資產。

對於事件發展，硬體錢包製造商 Ledger 執行長表示：「使用硬體錢包的用戶應在每次交易前，仔細檢視所有細節；若為軟體錢包使用者，目前應暫緩進行鏈上交易，以策安全。」

部分去中心化金融平台也迅速給出回應。Uniswap 表示未使用受感染套件版本，強調其系統未受影響；而區塊鏈基礎設施商 Blockstream 則指出，其平台並未納入相關依賴套件。

這起供應鏈攻擊事件加深了外界對「NPM 生態系統」安全問題的憂慮。專家指出，「攻擊者僅需一絲機會即可造成重大損失，用戶有可能因單一操作錯誤而導致數十萬資金外洩。」

評論：這次事件並非傳統錢包駭客案，而是暴露了現代軟體開發架構的「根本性安全弱點」。開發者與使用者應重新審慎檢視其套件來源與版本控管政策，以避免成為下一波攻擊的受害者。

隨著攻擊手法日趨複雜、頻率持續上升，NPM 套件生態內部的信任機制已面臨嚴峻考驗。未來開源開發流程中，對「加密貨幣」、「供應鏈攻擊」、「惡意程式」的識別與防禦能力，將成為資訊安全的關鍵攻防點。