注意 Web3 钱包遭遇 NPM 超大规模供应链攻击投毒事件

从 UTC 9月8日 13:16 开始，一系列推送到 npm 的软件包似乎包含恶意代码，攻击非常有针对性，主要针对 web3 相关用户的大规模攻击。

请各位关注此事件，保护自己，我无法为各位提供解决办法。

该恶意代码会劫持浏览器钱包（如 MetaMask ）和网络请求（ fetch 和 XMLHttpRequest ），拦截 ETH 、BTC 、SOL 、TRX 等加密货币交易，通过替换目标地址将资金转移至攻击者钱包（如 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976 ）

重大供应链攻击

著名开发者 qix 的 NPM 帐户遭到入侵，导致数十个软件包的恶意版本被发布，包括chalk、strip-ansi和color-convert。

攻击动作

代码首先检查是否存在（window.ethereum该对象由 MetaMask 等钱包扩展程序注入），则继续进行被动地址替换攻击。

被动地址替换

恶意脚本包含攻击者拥有的比特币 (BTC)、以太坊 (ETH)、Solana (SOL)、波场 (TRX)、莱特币 (LTC) 和比特币现金 (BCH)钱包地址，恶意代码采用了一种名为Levenshtein距离算法的复杂技术，该算法测量两个字符串之间的视觉相似度，会从列表中选一个跟目标地址更像的地址。

然后替换浏览器页面中显示的地址，当用户复制地址以后，其实复制的是攻击者的钱包地址。

主动交易劫持

如果检测到钱包，恶意软件就会启动其最危险的组件。

当用户发起交易时，恶意软件会在数据发送到钱包进行签名之前拦截数据。然后，它会修改内存中的交易，将收款人的地址替换为攻击者的钱包地址。

追踪被盗资金

由于区块链透明，我们可以监控这些欺诈性地址。以下是此次攻击中使用的主要以太坊地址之一。您可以在 Etherscan 上实时查看其活动。

攻击者的以太坊地址之一： 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976

请参阅此 GitHub Gist以获取所有钱包的列表：https://gist.github.com/jdstaerk/f845fbc1babad2b2c5af93916dd7e9fb

总结

本次攻击目标是代码维护者，从而导致整个代码库被投毒，导致全部用户被影响，作为普通用户的我们似乎无力抵抗。

保护自己

虽然部分受影响的版本目前已从 npm 中移除，但仍有一些版本可用。

每次交易一定要仔细核对钱包地址。

大额转账前先小额尝试，然后也要仔细核对地址以后再大额转账。

参考链接

• https://www.aikido.dev/blog/npm-debug-and-chalk-packages-compromised
• https://jdstaerk.substack.com/p/we-just-found-malicious-code-in-the