重大供应链攻击后， Binance的客户数据和资产是否面临风险？

全球交易量最大的加密货币交易所 Binance周二向客户保证，在有史以来针对 JavaScript 生态系统的最大规模供应链攻击之一中，没有任何用户数据或资产遭到泄露。. 

根据币安在 X 上发布的一份声明， Binance 其数据库没有受到任何损害 攻击中， 针对广泛使用的 Node.js 软件包（每周应用程序下载量超过 20 亿次）的

“我们已注意到近期发生的供应链攻击事件，该攻击发布了多个常用JavaScript软件包的恶意版本，”该公司写道。“经调查，我们确认自身未受影响，客户数据和资产均未面临风险。安全始终是我们的重中之重，此次事件再次提醒我们供应链安全的重要性。请注意安全。”

谈到社交平台遭受的供应链攻击，联合创始人赵长鹏（CZ） 表示：“如今就连开源软件都不安全。Web3 将重新defiWeb2 的安全标准。我们仍处于早期阶段。”

针对 JavaScript 包的供应链攻击令加密货币投资者感到恐慌

安全研究人员称，此次攻击是 NPM 历史上规模最大的攻击之一，攻击发生在 9 月 8 日。黑客入侵了一位名为“qix”的受信任开源维护者的帐户，该维护者也被dent为 Josh Junon。. 

攻击者通过一封伪装成 npmjs（JavaScript 包的中央仓库）官方邮件的钓鱼邮件欺骗了 Junon。正如这封诈骗邮件所示，攻击者诱骗 Junon 称，除非他立即更新双因素身份验证dent，否则他的帐户将于 2025 年 9 月 10 日被锁定。. 

“作为我们持续致力于账户安全的一部分，我们要求所有用户更新其双因素身份验证 (2FA)dent。我们的记录显示，您上次更新 2FA 已超过 12 个月，”邮件中写道。.

Junon 在 X 上证实，在另一位维护者透露他的 NPM 帐户“发布带有后门的软件包”后，他成为了网络 钓鱼骗局的 ，这使得攻击者能够劫持他的帐户并向 18 个流行的 Node.js 库推送恶意更新。 

这些软件包包括 chalk、debug、ansi-styles 和 strip-ansi，所有这些都嵌入在 web 中。.

恶意代码针对加密货币交易

根据 Aikido Security 的分析，攻击者将代码注入到被入侵的软件包中，使其能够充当基于浏览器的拦截器。这段代码被偷偷植入到 index.js 文件中，从而可以劫持任何使用被感染软件包的应用程序的网络流量和应用程序 API。.

该恶意脚本会监控主要数字资产（包括 Bitcoin、 Ethereum、 Solana、 Tron、 Litecoin和 Bitcoin Cash的钱包地址和交易记录。一旦检测到目标钱包地址，该恶意软件就会悄悄地将其替换为攻击者控制的地址，从而在受害者不知情的情况下转移资金。.

据 报道 Cryptopolitan Cryptopolitan ，硬件钱包制造商 Ledger 的首席技术官 Charles Guillemet 表示，恶意代码已经传播到下载量超过 10 亿次的软件包中

区块链分析公司 Arkham Intelligence 周一晚间发布报告称，目前仅有价值 159 美元的加密货币被盗。被盗资金的来源地址已 tracLedger 安全团队最初披露的信息中dent的地址。. 

然而，考虑到与受感染软件包相关的数十亿次下载，研究人员认为，即使数字很低，也并不意味着潜在的损害有限。.