一場利用五個惡意npm軟體包的攻擊旨在竊取以太坊和Solana開發者的私鑰,這凸顯了加密領域日益複雜的供應鏈攻擊趨勢。此次事件強調了開發者憑證被洩露所帶來的系統性風險,這可能導致主要智能合約被利用以及整個生態系統遭受重大財務損失。
2026年3月27日,一名攻擊者在npm軟體包註冊表上發布了五個惡意軟體包,直接針對以太坊和Solana生態系統內的開發者。此次攻擊採用了一種被稱為「名稱搶佔」(typosquatting)的方法,即軟體包名稱與合法軟體名稱高度相似,誘騙開發者安裝。一旦安裝,該程式碼的主要功能是定位並竊取私鑰,將其直接發送到攻擊者控制的伺服器。這種供應鏈攻擊代表著一個關鍵的漏洞,因為一個被入侵的開發者可能使攻擊者獲得對有價值智能合約及其底層資產的控制權。
此次攻擊並非孤立事件,而是針對開源軟體儲存庫的更廣泛、更複雜的攻擊趨勢的一部分。安全研究人員已經識別出類似的行動,稱之為「幽靈行動」,這些行動利用先進的欺騙手段來隱藏其惡意活動。這些行動通常生成虛假的安裝日誌和進度條以顯得合法,同時秘密地提示用戶輸入系統密碼。一旦獲得密碼,它將被用於執行遠端存取木馬(RAT),旨在竊取加密貨幣錢包和其他敏感數據,這表明以開發者為目標的網路犯罪正在顯著演變。
成功的開發者私鑰盜竊所造成的後果遠遠超出個人錢包的範疇。一個對主要DeFi協議或區塊鏈基礎設施擁有存取權限的被入侵開發者,可能使攻擊者能夠抽乾流動性池、修改智能合約邏輯或引發災難性故障。此類漏洞利用不僅會造成直接的財務損失,還會侵蝕整個以太坊或Solana生態系統安全性的信任。對於投資者而言,如果一個廣泛使用的協議成為被入侵開發者憑證的受害者,這就會對ETH和SOL等原生代幣的價格產生突然的負面影響,從而帶來切實的風險。
