新型NPM供应链攻击凸显加密货币库安全风险

By: crypto insight|2026/03/29 16:16:12

关键要点

超过400个NPM库，包括与以太坊域名服务(ENS)相关的关键加密货币包，已受到Shai Hulud恶意软件的攻击。
Shai Hulud代表了供应链攻击的广泛趋势，旨在通过攻击开发者基础设施来窃取凭证，包括加密货币钱包私钥。
非加密货币领域的流行软件包（如自动化平台Zapier的相关包）也受到波及，凸显了此次攻击的广泛影响。
研究人员建议使用NPM的环境立即进行调查和修复，以防止潜在的数据泄露。

加密货币库供应链攻击的威胁日益增加

研究人员发现了一起严重的供应链攻击，导致超过400个JavaScript NPM库被入侵。其中许多库对于加密货币包的运行至关重要，影响了以太坊域名服务(ENS)等实体。此次由Shai Hulud恶意软件策划的攻击，标志着全球开发者基础设施面临的威胁正在升级。

Shai Hulud恶意软件攻击的范围

网络安全公司Aikido Security揭露了此次攻击，展示了广泛使用的软件包中存在的漏洞。在众多受影响的组件中，至少有十个与加密货币行业相关。其中包括ENS的核心包，这些包对于将机器可读的以太坊地址转换为人类可读格式至关重要。据报道，这些受感染的包每周下载量达数万次，显示了它们在整个加密货币生态系统中的广泛使用。

持续更新并调查这些广泛分发的库中潜在的漏洞至关重要。Shai Hulud恶意软件具有极强的隐蔽性，作为一种自复制蠕虫，它能够在受感染的网络中自主传播。这种方法构成了严重风险，特别是在环境包含加密货币钱包私钥等敏感数据时，该恶意软件旨在提取这些信息。

ENS与加密货币生态系统的脆弱性

特别令人担忧的是受损的ENS相关包，如“content-hash”和“address-encoder”，它们每周都有大量的下载量。这些库在确保以太坊网络内地址转换的安全性和完整性方面发挥着至关重要的作用。此外，ensjs、ens-validation和ethereum-ens等其他关键包也遭到入侵，凸显了该恶意软件在ENS基础设施内的广泛影响。

除了ENS相关库外，该恶意软件还渗透了一个非ENS包“crypto-addr-codec”，其下载量巨大。这一广泛的受影响包范围凸显了此次攻击扰乱加密货币生态系统主要方面的潜力。