Ledger CTO：NPM攻击者未能得逞，几乎没有受害者

BlockBeats 消息，9 月 9 日，Ledger 首席技术官 Charles Guillemet 发文更新称，「NPM 攻击最新进展：幸运的是，攻击未能得逞，几乎没有受害者。

攻击始于一个伪装成 npm 支持域名的钓鱼邮件，窃取用户凭证，使攻击者能够发布恶意软件包更新。注入的代码针对网络加密活动，侵入以太坊、Solana 等链，劫持交易，并直接在网络响应中替换钱包地址。攻击者的失误导致 CI/CD 流水线崩溃，从而实现早期检测，影响有限。

尽管如此，这是一个明确的提醒：如果你的资金存放在软件钱包或交易所，只需一次代码执行，你就可能失去一切。供应链攻击仍然是强大的恶意软件传播途径，我们也看到越来越多针对性的攻击出现。

硬件钱包专为抵御此类威胁而设计。像「清晰签名」这样的功能让你能够准确确认交易内容，而「交易检查」功能能在问题发生前标记可疑活动。眼前的危险可能已经过去，但威胁依然存在。保持安全。」

BlockBeats 今日早些时候报道，目前正在发生一起大规模供应链攻击：一名知名开发者的 NPM 账号遭到入侵。受影响的包下载量已超过 10 亿次，这意味着整个 JavaScript 生态系统都可能面临风险。