星期一 Nov 24 2025 12:20
0 最小
在週一的公告中,Aikido Security 的研究員 Charlie Eriksen 披露了超過 400 個套件的名稱,這些套件顯示出受到「Shai Hulud」自我複製惡意軟體感染的跡象,該軟體正在持續進行的 JavaScript NPM 函式庫供應鏈攻擊中被利用。 Eriksen 表示,每次檢測都經過驗證,以最大程度地減少誤報。
幾個受影響的與加密貨幣相關的套件每週收到數萬次下載,並且是許多其他套件的關鍵依賴項。 Eriksen 還透過 X 發文提醒 Ethereum Name Service (ENS) 團隊,表明多個 ENS 套件受到影響。
Shai Hulud 指示了一種更廣泛的供應鏈攻擊趨勢。 9 月初,有報導稱最大的 NPM 攻擊導致價值 5000 萬美元的加密貨幣被盜。 亞馬遜網路服務公司指出,最初的攻擊之後迅速發生了 Shai-Hulud 蠕蟲在一周內自主傳播的事件。
雖然先前的攻擊直接針對加密資產進行盜竊,但 Shai-Hulud 作為一種通用的憑證竊取惡意軟體運行,自主地在開發人員基礎架構中傳播。 如果受感染的環境包含錢包金鑰,則惡意軟體會將其作為「機密」外洩,類似於任何其他敏感憑證。
在受影響的套件中,至少有 10 個與加密貨幣行業特別相關,並且主要集中在 ENS 上,ENS 是一種人類可讀的地址命名服務。 值得注意的受影響套件包括 ENS 的 content-hash,每週下載量接近 36,000 次,以及 91 個相依軟體套件,以及 address-encoder,每週下載量超過 37,500 次。
其他受影響的 ENS 套件包括 ensjs(每週下載量超過 30,000 次)、ens-validation(每週下載量 1,750 次)、ethereum-ens(每週下載量 12,650 次)和 ens-contracts(每週下載量接近 3,100 次)。 一個非 ENS 相關的加密貨幣套件 crypto-addr-codec 也受到影響,下載量接近 35,000 次。
受影響的套件不僅限於加密貨幣領域,還影響了企業自動化平台 Zapier 提供的產品,其中包括一個每週下載量超過 40,000 次的套件,以及其他幾個緊隨其後的套件。 Eriksen 進一步確定了其他受感染的套件,其中一些接近每週 70,000 次下載,另一個則超過每週 150 萬次下載。
“坦白說,這次新的 Shai Hulud 攻擊的範圍非常大;我們仍在處理佇列以確認所有內容,”Eriksen 在 X 上寫道。
“它會讓先前的攻擊看起來微不足道。”
網路安全公司 Wiz 的研究人員聲稱已經「在約 350 個唯一使用者中發現了超過 25,000 個受影響的儲存庫,在過去幾個小時內,每 30 分鐘持續新增 1,000 個新的儲存庫」。 該公司建議對使用 npm 的任何環境進行「立即調查和修復」。
風險警告:本文僅代表作者個人觀點並僅供參考。本內容不構成投資建議或財務指導,也不代表 Markets.com 平台的立場。在進行股票、指數、外匯及商品的交易或價格預測時,請務必留意:差價合約(CFD)交易具有高度風險,可能導致資本虧損。過去的表現並不代表任何未來結果。此資訊此資訊僅供參考之用,並不構成也不應構成投資建議。所有英國散戶投資人皆被限制進行加密貨幣差價合約(CFD)與點差交易。
最新
查看全部星期一, 24 十一月 2025
0 最小
星期一, 24 十一月 2025
0 最小
星期一, 24 十一月 2025
1 最小
ZH
