Aikido Security标记了有史以来最大规模的npm攻击，其中18个软件包（如chalk、debug和ansi-styles）被黑客入侵，通过注入代码劫持加密钱包。

Aikido Security发现了可能是有史以来规模最大的npm供应链入侵事件。一位长期值得信赖的npm维护人员的账户qix通过钓鱼邮件被劫持，18个热门软件包被恶意代码篡改。这些软件包包括chalk、debug和ansi-styles，每周下载量超过20亿次。

好消息是，检测速度足够快，足以限制损失。Aikido首席恶意软件研究员Charlie Eriksen表示，此次攻击在五分钟内就被识别，并在一小时内被披露。

此次事件之所以格外严重，是因为注入的恶意软件的目的并非针对开发环境或服务器，而是旨在干扰浏览器中的加密货币交易。

据研究人员称，该恶意软件会挂接到MetaMask、Phantom和其他钱包API，在用户签名之前篡改交易数据。界面会显示正确的收款人，但资金会被重定向到攻击者控制的地址。

该恶意软件还会拦截网络流量和应用程序调用，识别以太坊、比特币、Solana、波场币、莱特币和比特币现金的格式，然后用令人信服的相似地址重写它们。由于它同时在浏览器和API层面运行，因此可以使欺诈性转账看起来合法。

受感染软件包的完整列表很长，但其中一些使用最广泛的软件包包括chalk（每周下载量3亿次）、debug（每周下载量3.58亿次）和ansi-styles（每周下载量3.71亿次）。其他受影响的项目范围广泛，从is-arrayish等低级实用程序到strip-ansi等格式化库。

对于许多开发人员来说，这些软件包是日常JavaScript应用程序的基础的一部分，这意味着恶意版本可能已经在全球生产系统上运行。

该维护人员在Bluesky上确认，他的账户在收到来自“support@npmjs.help”的钓鱼邮件后被盗用。当他开始删除受感染的软件包时，账户访问权限已丢失。截至最新更新，一些软件包（例如simple-swizzle）仍然处于被盗状态。

Aikido分享的分析表明，该代码具有高度侵入性，会修改诸如fetch、XMLHttpRequest和钱包API方法等函数。它会更改交易有效载荷、批准，甚至Solana的签名流程，在用户不知情的情况下重定向资产。实际上，这意味着更新其中一个软件包的开发人员可能会使用户在与Web3应用程序交互时面临钱包劫持的风险。

目前，建议开发人员回滚到已知的安全版本，审核所有最近的软件包更新，并在其应用程序与加密货币钱包交互时密切监控交易。目前情况仍在持续，Aikido正在其官方博客上发布实时更新。