紧急安全事件!!大规模供应链攻击!!!
1、事件起因:一家知名 JavaScript 开发者(疑似 Qix)的 npm 账户被钓鱼攻破,攻击者向其维护/参与的多个热门包发布了夹带恶意代码的新版本。受影响包的累计下载量 > 10 亿
2、会发生啥:植入的代码静默篡改加密货币地址(常见于复制粘贴付款地址/浏览器钱包调用时被替换),也就是说你在区块链转账有可能接受地址会被篡改成黑客地址。
3、现在该怎么做:立即暂停非必要链上转账/签名操作(尤其是浏览器钱包、Web DApp),直到你确认所用钱包/网站未受影响。
如果上面的内容你看不懂,看下面这个小白版本
====================================
现在有人把常用的“积木”(npm 包)偷偷换成“带毒的”!
它会把你要转账的加密地址悄悄换掉,把钱转给黑客!
别着急转账,不瞎几把操作你就不会有事!
等官方/社区明确哪些版本安全,再升级!
发布于 中国香港
