JavaScript 庫遭受攻擊：正在動搖加密貨幣基礎的供應鏈攻擊

我從沒想過我會看到我們開源生態系統被如此殘酷地利用的那一天。現在在JavaScript世界發生的事情不僅僅是另一起安全漏洞——這對任何持有加密貨幣的人來說都是個可怕的噩夢，特別是對於那些依賴軟體錢包的我們。

一些聰明的家夥設法劫持了一位受人尊敬的開發者的NPM帳戶，在幾乎每個JavaScript項目依賴的庫中注入惡意代碼。我們說的是chalk、strip-ansi和color-convert——看似微不足道的工具，但卻是無數應用程序的支柱。

真正可怕的部分是什麼？這種惡意軟件專門針對加密貨幣交易，通過更換錢包地址來進行攻擊。你以爲自己是在給朋友發送資金，但實際上這些資金正好直接進入某個黑客的錢包。這是數字世界中像扒手一樣的行爲，趁你不注意將你的現金換成了大富翁遊戲幣。

這些被破壞的庫每週下載超過十億次。十億！即使你沒有直接安裝它們，你的項目可能也依賴於某些依賴於某些使用它們的東西。感染像病毒一樣在依賴樹中無聲傳播。

硬體錢包用戶可以松一口氣——至少你需要親自確認交易。但是對於我們這些使用軟體錢包的人來說？我們就像坐着的鴨子。沒人知道這些攻擊者是否也在尋找種子短語，但我不會感到驚訝。

這次攻擊揭示了我們整個生態系統建立的脆弱的紙牌屋。我們宣揚去中心化，卻依賴像NPM這樣的中心化存儲庫——基本上是一個應用商店，其中的代碼可能在未被發現的情況下被破壞，直到爲時已晚。

加密行業一直在談論主流採用，但當基本安全如此脆弱時，我們如何能期待呢？信任在金融中是至關重要的，而這樣的漏洞使我們的公衆認知倒退了數年。

保持警惕——這一情況仍在發展中，數十億美元的數字資產岌岌可危。