一次利用五个恶意npm软件包的攻击旨在窃取以太坊和Solana开发者的私钥,这凸显了加密领域日益复杂的供应链攻击趋势。此次事件强调了开发者凭证被泄露所带来的系统性风险,这可能导致主要智能合约被利用以及整个生态系统遭受重大财务损失。
2026年3月27日,一名攻击者在npm软件包注册表上发布了五个恶意软件包,直接针对以太坊和Solana生态系统内的开发者。此次攻击采用了一种被称为“抢注域名”(typosquatting)的方法,即软件包名称与合法软件名称高度相似,诱骗开发者安装。一旦安装,该代码的主要功能是定位并窃取私钥,将其直接发送到攻击者控制的服务器。这种供应链攻击代表着一个关键的漏洞,因为一个被入侵的开发者可能使攻击者获得对有价值的智能合约及其底层资产的控制权。
此次攻击并非孤立事件,而是针对开源软件存储库的更广泛、更复杂的攻击趋势的一部分。安全研究人员已经识别出类似的行动,称之为“幽灵行动”,这些行动利用先进的欺骗手段来隐藏其恶意活动。这些行动通常生成虚假的安装日志和进度条以显得合法,同时秘密地提示用户输入系统密码。一旦获得密码,它将被用于执行远程访问木马(RAT),旨在窃取加密货币钱包和其他敏感数据,这表明以开发者为目标的网络犯罪正在显著演变。
成功的开发者私钥盗窃所造成的后果远远超出个人钱包的范畴。一个对主要DeFi协议或区块链基础设施拥有访问权限的被入侵开发者,可能使攻击者能够抽干流动性池、修改智能合约逻辑或引发灾难性故障。此类漏洞利用不仅会造成直接的财务损失,还会侵蚀整个以太坊或Solana生态系统安全性的信任。对于投资者而言,如果一个广泛使用的协议成为被入侵开发者凭证的受害者,这就会对ETH和SOL等原生代币的价格产生突然的负面影响,从而带来切实的风险。
