Ledger CTO avisa: a conta NPM está comprometida, o que pode afetar todo o ecossistema JavaScript

De acordo com o Bijie.com, em 9 de setembro (UTC+8), o Diretor de Tecnologia do Ledger (CTO) Charles Guillemet alertou que um ataque da cadeia de suprimentos em larga escala está em andamento, e a conta da NPM de um desenvolvedor bem conhecido foi invadido, e os downloads cumulativos dos pacotes de software afetados tiveram 1 bilhão de bilhões de vezes, que pode afetar todo o JAVASScrings dos pacotes de software afetados. Código malicioso tampa com endereços criptografados durante a transação para roubar fundos. Não está claro se o invasor roubou diretamente as palavras mnemônicas da carteira de software. Guillemet disse que o uso de carteiras de hardware com assinaturas claras é um risco relativamente baixo, mas cada transação ainda precisa ser cuidadosamente verificada; Os usuários que não usam carteiras de hardware devem evitar temporariamente as transações na cadeia. Ele acrescentou que o ataque "potencialmente afeta todas as correntes".