Ledger CTO：NPM攻擊者未能得逞，幾乎沒有受害者

Ledger首席技術官Charles Guillemet發布NPM攻擊事件最新進展：“此次攻擊未能得逞，幾乎未造成受害者損失。攻擊者通過一封來自虛假npm支持域名的釣魚郵件竊取了用戶憑證，進而發布了惡意軟件包更新。注入的代碼針對網頁加密活動，侵入以太坊、Solana等區塊鏈網絡劫持交易，還在網絡響應中直接替換錢包地址。由於攻擊者操作失誤，導致CI/CD流程崩潰，攻擊得以提前被發現，影響范圍有限。不過，這仍是一個明確警示：若資金存放在軟件錢包或交易所，僅需一次代碼執行就可能損失全部資金。供應鏈安全漏洞仍是傳播惡意軟件的重要途徑，且針對性攻擊也日益增多。硬件錢包專為抵御此類威脅設計，其清晰簽名等功能可確認交易詳情，交易檢查功能則能提前標記可疑活動。雖然當前危險已過，但威脅仍在，務必保持警惕，確保安全。”