Ledger CTO：NPM攻击者未能得逞，几乎没有受害者

比特家园 9月9日消息，Ledger首席技术官Charles Guillemet发布NPM攻击事件最新进展：“此次攻击未能得逞，几乎未造成受害者损失。攻击者通过一封来自虚假npm支持域名的钓鱼邮件窃取了用户凭证，进而发布了恶意软件包更新。注入的代码针对网页加密活动，侵入以太坊、Solana等区块链网络劫持交易，还在网络响应中直接替换钱包地址。由于攻击者操作失误，导致CI/CD流程崩溃，攻击得以提前被发现，影响范围有限。不过，这仍是一个明确警示：若资金存放在软件钱包或交易所，仅需一次代码执行就可能损失全部资金。供应链安全漏洞仍是传播恶意软件的重要途径，且针对性攻击也日益增多。硬件钱包专为抵御此类威胁设计，其清晰签名等功能可确认交易详情，交易检查功能则能提前标记可疑活动。虽然当前危险已过，但威胁仍在，务必保持警惕，确保安全。”