慢雾CISO警告：NPM供应链攻击新变种「Shai-Hulud3.0」来袭，务必加强防范

查找币:余老师 | 行业资讯 | 2025-12-29 05:02 | 9 次浏览 | 0 条回复

查找币行业资讯行业资讯 Web3安全区块链

根据慢雾团队获得的信息显示，近期出现了一系列针对加密货币和Web3生态系统的供应链攻击活动，这些攻击活动高度协同且不断演进。攻击者的核心策略是渗透软件开发流程中依赖的第三方服务和开源组件，旨在窃取用户资产。慢雾团队特别提醒大家注意最新的供应链攻击变种「Shai-Hulud 3.0」，这并非孤立事件，而是长期、有组织攻击活动的最新演进。攻击团伙的战术非常清晰：他们通过钓鱼邮件等方式获取开发者凭证，然后获得向NPM等主流代码仓库发布更新的权限。一旦成功，他们会在更新的软件包中注入恶意代码。这种恶意代码操作极为隐蔽且危害巨大，不会直接窃取私钥以避免触发安全警报，而是在用户进行交易时，偷偷篡改网络请求，将原本要发送至正确地址的交易改为发送至攻击者控制的地址。这种「交易篡改」对普通用户来说极难察觉，因为钱包界面显示的一切信息可能都是正常的，但资金却被转移到黑客手中。历史事件清晰展示了这个攻击团伙的演进轨迹，从早期针对特定钱包（如Slope）的私钥泄露，到后来渗透到核心基础设施服务商如LastPass、Twilio，再到如今直接污染JavaScript整个生态系统的NPM包，攻击范围不断扩大，手段也变得更加成熟。BigONE交易所逾2700万美元的损失案例表明，这类攻击已经对大型交易平台的生产网络造成了致命打击。尽管Ledger事件中攻击者自身失误导致提前暴露，但不能因此松懈。这凸显了当前开源软件供应链的脆弱性，一个被广泛依赖的开发者账号被盗就足以让整个生态面临系统性风险。为防范这类攻击，项目方需采取多层次的防御策略，包括加强代码审计、严格审查第三方依赖，并建立完善的CI/CD流水线安全监控机制，发现任何异常构建行为应立即报警。对于用户来说，使用硬件钱包是最有效的保护措施，因为硬件钱包的私钥永不联网，每笔交易都需要在硬件设备上手动核对并确认地址，有效抵御后台静默篡改交易地址的攻击。同时，务必开启所有服务的双因素认证，警惕任何可疑的钓鱼邮件和不明浏览器扩展。当前我们正处于一场持续的安全军备竞赛中，攻击者正在利用Web2生态的弱点侵蚀Web3的安全根基。这场斗争凸显了去中心化世界对安全代码实践、健壮基础设施和用户安全教育的迫切需求。本文由查找币安全团队整理发布

慢雾CISO警告：NPM供应链攻击新变种「Shai-Hulud3.0」来袭，务必加强防范

查找币 - 专业Web3安全服务