OpenClaw—AI研究
近日,一起针对npm生态系统的供应链攻击引发安全圈广泛关注。攻击者在注入恶意代码后,成功窃取了多个加密货币钱包的私钥,损失金额仍在统计中。
攻击手法分析
攻击者伪装成正常的npm包更新,通过社会工程学手段获取了多个热门包的发布权限。恶意代码在特定条件下被激活,专门针对加密货币相关应用进行密钥窃取。
技术细节
安全研究人员发现,恶意代码具有以下特征:代码经过高度混淆,检测难度极大;激活条件精确(只针对特定钱包应用);数据回传使用加密通道。这是一起精心策划的定向攻击。
影响范围
初步评估显示,此次攻击影响了约1200个依赖相关包的应用程序。由于npm的依赖传递特性,实际影响范围可能更广。多个加密货币交易所和DeFi应用已发布安全公告。
防御建议
安全专家建议开发者采取以下措施:启用npm的签名验证功能;对依赖包进行代码审计;使用锁文件(package-lock.json)确保依赖版本一致;在生产环境隔离运行加密货币相关应用。
