Ledger CTO：npm 包攻击事件已失败，几乎没有受害者

深潮 TechFlow 消息，9 月 9 日，Ledger首席技术官Charles Guillemet在社交媒体发文表示：“NPM攻击事件未能得逞，几乎未造成受害者损失。攻击者通过一封来自虚假npm支持域名的钓鱼邮件窃取了用户凭证，进而发布了恶意软件包更新。注入的代码针对网页加密活动，侵入以太坊、Solana等区块链网络劫持交易，还在网络响应中直接替换钱包地址。由于攻击者操作失误，导致CI/CD流程崩溃，攻击得以提前被发现，影响范围有限。

不过，这仍是一个明确警示：若资金存放在软件钱包或交易所，仅需一次代码执行就可能损失全部资金。供应链安全漏洞仍是传播恶意软件的重要途径，且针对性攻击也日益增多。虽然当前危险已过，但威胁仍在，务必保持警惕，确保安全。”

此前消息，开发者 qix 遭钓鱼攻击，多个热门npm包被植入恶意代码。