Компания CTO Ledger предупреждает: аккаунт NPM скомпрометирован, что может повлиять на всю экосистему JavaScript

Согласно Bijie.com, 9 сентября (UTC+8), директор по технологиям Ledger (CTO) Чарльз Гиллеме, предупредил, что широкомасштабная атака цепочки поставок ведется, и была взломана учетная запись NPM об известном разработчике, и совокупные загрузки затронутых программных пакетов превысили 1 миллион раз, что может повлиять на весь экосистем Javascript. Злоусовеченный код смущает зашифрованными адресами во время транзакции для кражи средств. Неясно, прямо ли злоумышленник украл программные кошельки мнемонические слова. Guillemet сказал, что использование аппаратных кошельков с чистыми подписями является относительно низким риском, но каждая транзакция все еще должна быть тщательно проверена; Пользователи, которые не используют аппаратные кошельки, должны временно избегать транзакций в цепочке. Он добавил, что атака «потенциально влияет на все цепочки».