警报——NPM黑客事件给加密货币用户敲响警钟

此次入侵波及chalk、strip-ansi、color-convert等核心JavaScript库——这些基础组件堪称数字世界的输水管线。这些库每周下载量高达数十亿次，默默运行在从网页应用到开发者工具的所有场景中。多数开发者并未直接安装它们，但它们深藏在依赖关系树底层，这正是本次攻击具备系统级破坏力的原因。

事件经过

根据多方安全报告，攻击者入侵了一位知名开发者的NPM账户，将恶意代码注入这些基础库后直接投放到全球软件生态系统中。攻击载荷？加密货币剪切器——这种恶意软件能在交易过程中替换钱包地址，悄无声息地将资金转移至攻击者手中。

如果你曾复制过钱包地址、粘贴至输入框并点击"发送"，这就是你最恐惧的噩梦场景。恶意代码会劫持目标地址，除非你通过硬件钱包二次核对，否则资金将一去不返。

安全研究人员简报，来源：Observations

事件警示

• 加密货币用户：使用软件钱包即存在风险。强制物理确认每笔交易的硬件钱包仍是安全黄金标准。
• 开发者：受影响的不仅是粗心开发者的应用。这些被污染的基础库足以波及最严谨的开发者——你无需直接安装这些组件，你的依赖项早已代劳。
• 开源生态：NPM本质上是JavaScript世界的应用商店，也是单点故障源。一个被入侵的开发者账户就能武器化数十亿人间接信任的代码。

未解之谜

目前尚不确定恶意软件是否还有后招——有研究者推测其可能尝试直接窃取助记词。若属实，此次攻击将从"剪切器攻击"升级为"彻底清空钱包"。

这再次残酷地提醒我们：整个数字基础设施都建立在志愿者维护的开源代码库之上——这些代码往往由个人利用业余时间编写。像chalk这样的基础组件虽不起眼却无处不在。当攻击者攻陷这类底层要素，冲击波将席卷整个互联网。

加密货币之所以成为肥美目标，只因它是即时到账、不可撤销、没有中间商的金钱。但真正的危机在于：全球软件供应链仅靠胶带般的脆弱信任维系。

在事件解决前，请谨慎处理每笔交易。