npm

20 個惡意 #npm 軟件包冒充 #Hardhat #Ethereum✅ 開發環境，以私鑰和敏感數據爲目標。這些軟件包已被下載超過 1,000 次，由三個帳戶使用 #typosquatting 技術上傳，以欺騙開發人員。安裝後，這些軟件包會竊取私鑰、助記符和配置文件，使用硬編碼的 AES 密鑰對其進行加密，然後將其發送給攻擊者。這使開發人員面臨未經授權的交易、受損的生產系統、#phishing 和惡意 dApp 等風險。

緩解技巧：開發人員應驗證軟件包的真實性，避免域名搶注，檢查源代碼，安全存儲私鑰，並儘量減少依賴項的使用。使用鎖定文件和定義特定版本也可以降低風險。
$ETH

黑客接管了一個頂級 #NPM 開發賬戶，並插入了一個惡意腳本，在轉賬過程中交換了錢包地址 💻🔓

到目前爲止，損失約爲 481 💸

幣安、Uniswap、MetaMask、Rabby、Ledger 等確認用戶是安全的 ✅

顯示了供應鏈中一個薄弱環節如何能毒害整個系統 ⚠️🕸️

\$NAORIS \$BNB

🚨 安全警報：
超過 400 個 NPM 包 — 包括關鍵的 ENS & 加密庫 — 遭遇了 **蠕蟲式攻擊**！ 🐛

攻擊者盜取了 **開發者憑證 & 錢包密鑰**。
開發者和用戶，請保持警惕並立即更新您的包！ ⚠️

#CryptoSecurity #ENS #NPM #DevAlert #CryptoNews

🚨 來自Ledger技術部門負責人嚴重警告! 🚨
最近對NPM的攻擊揭示了供應鏈攻擊的威脅有多麼嚴重，可能會影響到數千名開發者和用戶。

📌 發生了什麼？

NPM上的庫遭到攻擊，黑客在Packages中植入了惡意代碼。

進行正常庫更新的開發者在不知情的情況下面臨風險！

這可能導致數據被竊取、私鑰丟失，甚至是加密錢包中的資金被盜！

⚠️ 爲什麼這個問題如此嚴重？

任何使用開源庫的開發者都面臨這種攻擊的風險。

大公司和小公司都受到了影響。

此次攻擊表明，我們必須比以往任何時候都更加關注供應鏈的安全。

💡 Ledger的建議以避免災難：
✅ 在更新之前對Packages進行審計。
✅ 使用代碼簽名並驗證其來源。
✅ 始終依賴強大且最新的安全解決方案。

🔥 在智能攻擊的時代，安全不是奢侈品，而是必要品！
你認爲我們的軟件公司做得足夠嗎，以防止這些攻擊？還是說還有很長的路要走？ 🤔

#أمن_المعلومات #Blockchain #SupplyChain #NPM #Ledger

$SOL
$BTC
$ETH

🚨 有史以來最大的供應鏈黑客攻擊 🚨

黑客劫持了NPM包，將加密交易重定向到攻擊者控制的錢包。

Ledger首席技術官警告：

“暫時不要進行任何鏈上交易。”

保持安全並分享以提高意識。

#SupplyChainHack #CryptoSecurity #Ledger #CyberAttack #NPM

NPM供應鏈攻擊警示：加密貨幣用戶面臨大規模地址篡改風險

分析針對JavaScript生態系統的供應鏈攻擊及其對加密貨幣用戶的安全影響，提供實用防護建議。

知名開發者qix的NPM賬戶遭釣魚攻擊導致多個熱門軟件包被植入惡意代碼，影響範圍覆蓋下載量超過10億次的包（包括chalk、strip-ansi等）。攻擊手段通過掛鉤錢包功能篡改ETH/SOL交易收款地址，並在網絡響應中替換地址，使用戶在不知情情況下向攻擊者轉賬。

Ledger首席技術官確認此次攻擊針對整個JavaScript生態系統，惡意代碼專門設計爲靜默替換加密貨幣地址。硬件錢包用戶可通過設備屏幕驗證交易細節避免風險，但軟件錢包用戶建議暫停鏈上交易直至威脅解除。

防護建議：

1. 交易前強制覈對收款地址（粘貼後二次驗證）
2. 高價值操作優先使用支持清晰簽名的硬件錢包
3. 檢查近期交易記錄及授權狀態
4. 避免更新或安裝未知來源的軟件包

行動洞察：供應鏈攻擊凸顯了依賴開源基礎設施的潛在風險，維護軟件依賴項衛生與交易驗證習慣同等重要。

#供应链安全 #加密货币安全 #NPM #硬件钱包 #Write2Earn

免責聲明：此內容僅供參考，不構成財務或安全建議。用戶應自行研究並採取適當措施保護資產。

🚨 突發消息：史上最大的 NPM 供應鏈攻擊 – 數十億次下載受到影響 🚨

在一次前所未有的泄露中，黑客劫持了流行的 NPM 包，影響了超過 26 億次每週下載。此次攻擊通過針對維護者賬戶的網絡釣魚活動發起，導致惡意軟件被注入，旨在在多個區塊鏈中交換瀏覽器內的錢包地址，包括 $BTC, $ETH, $SOL, $TRX, $LTC 和 $BCH。

該惡意軟件通過在交易過程中靜默地更改錢包地址，未經用戶同意將資金重定向到攻擊者的錢包。受影響的包包括流行的庫，如 chalk、debug、ansi-styles 和 Nx。

⚠️ 推薦立即採取的行動：

▪️對所有交易使用硬件錢包。

▪️通過仔細檢查錢包地址來驗證每一筆交易。

▪️如果您使用網絡錢包，請避免鏈上活動，直到另行通知。

▪️更新您的開發依賴，以移除任何受影響的包。

此次攻擊突顯了在軟件供應鏈中保持警惕的關鍵需求，特別是涉及與加密貨幣交易交互的依賴。保持信息靈通，保護您的資產。

#NPM #BTC #ETH #SOL #CryptoNews

🚨 Ledger 在 NPM 供應鏈攻擊後發出全球警告

加密世界在緊張中甦醒：Ledger，作爲最知名的硬件錢包製造商之一，在檢測到大規模 NPM 供應鏈攻擊後發出緊急警報。情況如此嚴重，以至於 Ledger 建議暫停所有鏈上交易，直至另行通知。

📖 9 月 8 日，總部位於巴黎的 Ledger — 數十億數字資產的守護者 — 確認一個受損的 NPM 組件可能已經感染了開發者和加密服務所使用的關鍵庫。

供應鏈攻擊並不新鮮，但它們是最危險的攻擊之一。還記得 SolarWinds 嗎？在 Ledger 的情況下，風險更高：受損的庫可能會爲私鑰盜竊或交易操控打開後門。

到目前爲止，尚未報告確認的損失。但是，Ledger 罕見地要求全球暫停運營，突顯了事態的嚴重性。

⚡ 關鍵細節

攻擊源自流行的 NPM 模塊，惡意代碼被注入。

潛在影響波及依賴這些庫的開發者、交易所和錢包。

Ledger 正在與國際網絡安全專家合作，以遏制這一威脅。

🔑 主要結論

加密安全不僅僅停留在你口袋裏的設備上。它延伸到其背後的軟件生態系統。即使是最強大的硬件錢包也依賴於看不見的基礎設施 — 當這一基礎設施崩潰時，整個行業都會受到影響。

💬 你的選擇

在此之後，你還會繼續信任 Ledger 嗎，還是考慮遷移到另一個託管解決方案？

#Ledger #CryptoSecurity #NPM #CyberSecurity #CryptoNews

一場大規模的黑客攻擊影響了18個流行的#JavaScript #npm 軟件包（每週下載量超過2B），注入了代碼，導致#hijacks 個Web3錢包交易，如#MetaMask 和#Phantom 。

大規模 #npm 侵害通過常見 JavaScript 庫劫持加密錢包

一場廣泛的供應鏈攻擊影響了 18 個流行的 npm 包——例如 #chalk 、#debug 和 ansi-styles——每週下載量超過 20 億次。黑客劫持了一名維護者的賬戶，並注入了代碼，微妙地改變了瀏覽器錢包中加密交易的細節，如 #MetaMask 和 #Phantom ，將資金髮送給攻擊者，同時向用戶展示合法地址。這次泄露在幾分鐘內被發現，並在一小時內被披露。開發者應緊急回滾受影響的包，審覈最近的更新，並對可疑的錢包行爲保持警惕。

這件事的重要性
供應鏈漏洞：基礎庫中的惡意軟件可能對無數項目產生連鎖反應。
錢包級操控：用戶可能在不知情的情況下批准惡意交易——儘管與經過審覈的 dApp 或庫進行交互。
快速檢測：快速響應將損害降至最低——但規模之大凸顯了 JavaScript 生態系統的脆弱性。

XRP賬本面臨嚴重漏洞，危及網絡
摘要：
XRP賬本（XRPL）遭遇了一個可能中斷交易的嚴重漏洞。主要細節：
- 漏洞性質：網絡共識中的缺陷導致區塊驗證暫時減慢。
- 快速修復：瑞波的開發者在數小時內發佈了補丁，避免了重大幹擾。
- 市場影響：XRP價格短暫下跌，但隨着信心恢復而反彈。
此事件強調了對區塊鏈網絡進行嚴格測試的重要性。

Aikido團隊表示：“這個後門竊取私鑰並將其發送給攻擊者”，並補充道：“受影響的版本爲4.2.1 - 4.2.4，如果您使用的是早期版本，請勿升級。”

根據Aikido Security的惡意軟件研究員Charlene Eriksen的說法，這是對供應鏈的複雜利用，可能涉及攻擊者通過用戶名“mukulljangid”入侵瑞波員工的npm賬戶。

Charlene在她的分析中表示：“XRPL（瑞波）官方NPM包被先進的攻擊者入侵，他們設置了後門來竊取私有加密貨幣密鑰並訪問加密貨幣錢包。”
#npm #Ripple
#Hack #xrp

$XRP

🚨 請先避免在 WEB3 上進行交易！
危險的代碼隱藏在 NPM 構建中，可能會竊取開發者的敏感數據並將其發送到黑客服務器。

⚠️ 危險：
- 在構建過程中潛入並竊取機密/環境變量。
- 可能在不知情的情況下更改 API 調用和構建結果。
- 一個被感染的包 = 數千個項目受到影響。

🔒 保護自己：
- 禁用 WEB3 擴展
- 避免鏈上交易
- 審計所有依賴項。
- 警惕預安裝/後安裝腳本。
- 不要隨便安裝包。

📌 重點：一旦漏網，黑客就可以控制您的交易和數據。

保持安全

#Web3 #Hijack #npm

​🚨 突發新聞：最大 NPM 攻擊淨賺不到 $500！ 🚨

​在一次令人震驚的巨大安全威脅和史詩失敗的展示中，據報導，歷史上最大的 NPM 供應鏈攻擊淨賺不到 $500！ 😅 這對於加密貨幣和開發者社群來說是一個巨大的慰藉，並且是安全響應速度和有效性的有力證明。

​此次攻擊針對的是在數百萬個應用程式中使用的流行 JavaScript 套件，目的是從加密錢包中竊取資金。儘管攻擊的規模很大，但安全研究人員和開源社群的迅速行動意味著惡意代碼在造成廣泛損害之前就被發現並移除。

​👇 這對加密生態系統意味著什麼：
​行動中的韌性：這一事件證明了加密和 Web3 生態系統正在變得更加韌性。能夠實時檢測和控制如此大規模的攻擊是整個行業向前邁進的重要一步。 ✅

​風險的提醒：雖然這次攻擊未能造成重大損害，但它強有力地提醒我們供應鏈攻擊是一個持久的威脅。開發者和用戶必須保持警惕，並遵循最佳實踐以保護他們的資金和數據。 🛡️

​社群是關鍵：開源和加密安全社群的快速反應對防止數百萬美元的災難至關重要。這突顯了在去中心化世界中合作和透明度的力量。 🤝

​💡 故事很清楚：這不僅僅是黑客的失敗；這對加密生態系統的安全來說是一個巨大的勝利。最大的攻擊失敗了，這是最好的消息。

​你怎麼看？這一事件讓你對加密空間的安全感到更有信心還是更沒有信心？在評論中告訴我！ 👇

​📢 每日加密新聞 📰，別忘了點贊 👍、分享 🔁 和關注 🚀。

​#CryptoNews #NPM #CyberSecurity #BinanceSquare

一個廣泛的 NPM 供應鏈漏洞影響了開發者 qix 的賬戶，向流行庫（如 chalk、strip-ansi 和 color-convert）推送惡意更新。在 NPM 安全團隊和作者清理攻擊的同時，開發者被敦促徹底檢查依賴項和鎖定文件，以確保項目中沒有被攻陷的版本。
#NPM $BTC