npm软件包遭恶意代码注入,Scam Sniffer提醒用户防范钓鱼攻击
9月9日,Scam Sniffer披露知名开发者qix因钓鱼攻击导致npm软件包chalk、strip-ansi、color-convert被注入恶意代码。攻击者通过挂钩钱包功能、篡改ETH/SOL交易收款地址以及替换网络响应中的地址实施攻击。官方提醒用户务必在钱包界面核对收款人和金额,检查粘贴后地址变化,复查近期交易,高价值操作优先使用硬件钱包。Ledger CTO Charles Guillemet指出相关软件包下载量超10亿次,整个JavaScript生态系统可能面临风险。恶意代码可在交易时替换加密地址窃取资金,硬件钱包用户可通过核查交易签名规避风险,非硬件钱包用户建议暂缓链上操作,目前尚未确认是否存在助记词窃取情况。