Le grand CTO avertit: le compte NPM est compromis, ce qui peut affecter l'ensemble de l'écosystème JavaScript

Selon Bijie.com, le 9 septembre (UTC + 8), Charles Guillemet, directeur de la technologie du Ledger, a averti qu'une attaque de chaîne d'approvisionnement à grande échelle était en cours, et le compte NPM d'un développeur bien connu a été piraté, et les téléchargements cumulatifs des packages logiciels affectés ont dépassé 1 milliard de fois, ce qui peut affecter l'ensemble des écosscrits javascript. Le code malveillant tamponne des adresses cryptées pendant la transaction pour voler des fonds. Il n'est pas clair si l'attaquant a directement volé les mots mnémoniques du portefeuille logiciel. Guillemet a déclaré que l'utilisation de portefeuilles matériels avec des signatures claires est un risque relativement faible, mais que chaque transaction doit encore être soigneusement vérifiée; Les utilisateurs qui n'utilisent pas de portefeuilles matériels devraient temporairement éviter les transactions en chaîne. Il a ajouté que l'attaque "affecte potentiellement toutes les chaînes".