NPM 的供应链攻击10.7 亿次下载

发布日期: September 8, 2025|最后更新: September 8, 2025

NPM 中的供应链攻击： 1.070 亿次下载影响了 JavaScript 项目和加密网络应用程序中广泛使用的生态系统实用程序。因此，有效载荷充当了加密钳，拦截网络响应和钱包交易并替换地址。

规模和攻击面

报告详细介绍了所有恶意代码及其特征。从本质上讲，我们所面临的威胁规模是空前的，因为恶意构建是有目的地针对网络项目依赖树深处的基础实用程序发布的。这些工具不是小众库，而是非常流行的构建模块，几乎所有现代前端和后端构建管道都要过渡依赖这些模块。其中包括

每周下载量约为 3 亿次的 chalk
strip-ansi 大约有 2.61 亿次下载
color-convert 大约有 1.93 亿次下载
color-name 大约有 1.91 亿次下载
is-core-module 大约有 6 900 万次下载
error-ex 大约有 4,700 万次下载
has-ansi 约 1 200 万

有效载荷机制：被动地址替换和主动交易拦截

第一步，它会检查是否存在 window.ethereum，即是否存在 MetaMask 等钱包扩展。如果没有，就会有一个被动载体：脚本会对本地获取和 XMLHttpRequest 进行猴子抓包，拦截所有网络响应，并使用正则表达式扫描文本，查找比特币、以太坊、Solana、Tron、莱特币和比特币现金的加密地址。

找到地址后，代码会检查该地址是否属于攻击者，如果不属于攻击者，则会使用莱文斯坦距离从攻击者的预定义列表中选择 "最相似 "的地址，并即时替换响应内容。这大大提高了用户的隐蔽性：地址在视觉上与原地址接近，而且替换发生在接口访问数据之前的网络层。

如果钱包被检测到，还有一个更危险的载体。钱包的请求/发送功能已打上补丁，可在签名前拦截交易数据。当调用 eth_sendTransaction 等函数时，有效载荷会修改内存中的目标字段，插入严格硬编码的攻击者地址。由此产生的情况对于不注意检查的用户来说尤为隐蔽：用户可能会在用户界面中看到正确的地址，但却与替换后的收件人签署了交易，资金就会流入攻击者手中。

值得注意的是，在被动替换的逻辑中，以太坊还有一个额外的隐蔽措施：如果钱包处于激活状态，ETH 地址不会通过此路径被重写，这就降低了在激活场景同时运行时出现明显不匹配的风险。

在以太坊涉及的地址中，0xFc4a4858bafef54D1b17697bfb5c52F4c166976。在代码工件层面，负责地址交换器的 _0x20669a 和启动钱包方法拦截的 runmask 等函数名称引起了注意，这可能会简化回溯式构建分析中的检测。