史上最大规模软件供应链攻击致加密货币被盗，损失却出人意料地低

近日，一名身份不明的黑客发动了一场可能是有史以来最大规模的软件供应链攻击。然而，尽管攻击范围广泛，黑客的实际获利却远低于预期，甚至不及许多 memecoin 的市场价格。

9 月 8 日（星期一），该黑客成功入侵了知名 JavaScript 开发者“qix”的账户，并向数十种广泛使用的网站和应用程序构建工具推送了恶意更新。这些工具每周的下载量超过 20 亿次，影响范围极为广泛。

在获得访问权限后，黑客在其所有软件包中植入了恶意代码。这些代码虽然并非传统意义上的病毒，但其设计目的是从用户浏览器中的加密钱包中窃取加密货币。

由于开发人员更新通常会被自动信任，因此当新版本发布时，许多项目和应用程序在未经审查的情况下接受了这些更新，导致黑客的恶意代码迅速传播并引发混乱。

合规与威胁管理平台 Nominis 的创始人兼首席执行官 Snir Levi 向 The Defiant 表示，现代软件供应链“高度互联”。他指出，一个被入侵的 npm 帐户可以在几分钟内影响数千个项目和企业，因为代码重用是“整个生态系统的支柱”。Npm 是 JavaScript 软件包的注册表。

Levi 强调：“风险不仅仅是技术层面的——关键依赖项中的恶意软件可能会影响数百万用户，转移数十亿美元的资金，并破坏行业诚信的信任。此次事件凸显了安全不仅仅是保护基础设施；而是保护庞大而无形的信任网络中的每一个环节。”

据以太坊 和 索拉纳安全联盟在攻击后发布的博客文章透露，黑客创建了一个账户，将目标地址替换为其个人钱包地址。

网络安全专家表示，该恶意代码还试图通过相似地址重写网络流量中的加密货币地址，进一步扩大攻击效果。

“世代失误”

尽管从理论上讲，这次攻击可能造成灾难性后果，但从实际损失来看，安全联盟指出，黑客仅窃取了价值约 0.05 美元的以太坊以及价值 20 美元的 memecoin。

安全联盟补充道：“尽管此次攻击规模巨大，但攻击者似乎只‘窃取’了约 5 美分的 ETH 和 20 美元的 memecoin，而过去 24 小时内的交易量高达 588 美元。”

匿名白帽黑客、安全联盟创始人 samczsun 在X 帖子中评论称，这一事件堪称“一代人的失误，我们可能永远不会再看到这样的失误”。

数字资产恢复公司 Circuit 的首席执行官 Harry Donnelly 在接受 The Defiant 采访时则表示，这次攻击远非最后一次。他认为，“加密供应链中存在许多依赖关系和漏洞”，未来类似事件可能还会发生。

Donnelly 进一步指出，这次攻击表明，即使是开发者安装的开源软件包这样微小的部分，也可能成为意想不到的攻击媒介。即便有效载荷被替换，制定应对恶意活动的措施对于防止资金被盗仍然至关重要。