Socket Research Team于9月16日披露,周下载量达220万次的npm包@ctrl/tinycolor因恶意更新触发大规模供应链攻击,波及超40个关联包。受此影响的包体包含angulartics2@14.1.2、@ctrl/tinycolor@4.1.1/4.1.2、ngx-colo
Socket Research Team于9月16日披露,周下载量达220万次的npm包@ctrl/tinycolor因恶意更新触发大规模供应链攻击,波及超40个关联包。受此影响的包体包含angulartics2@14.1.2、@ctrl/tinycolor@4.1.1/4.1.2、ngx-color@10.0.2等40余个版本。该机构紧急建议用户卸载或锁定至安全版本,同步审查受影响环境并轮换npm令牌及暴露的敏感密钥。
版权声明:如无特殊标注,文章均为本站原创,转载时请以链接形式注明文章出处。
为您推荐
7月16日,BigONE发布公告披露,当日凌晨平台部分资产发生异常转移,确认因热钱包遭受第三方攻击导致。平台已锁定攻击路径并遏制风险扩散,预估损失金额达2700万美元。当前系统正分阶段恢复,充值及交易服务预计数小时内重启,提现功能将在完成安全升级后开放。平台声明将全额动用平台安全储备金补偿用户损失,
7月16日,区块链安全机构SlowMist通报,交易平台BigONE因供应链攻击事件导致生产网络被入侵。攻击方通过篡改账户及风控服务器运行逻辑,非法提取资金,造成超过2700万美元损失。官方确认私钥未发生泄露。
CertiK Alert监测显示,9月1日约3200万枚AIO代币从OLAXBT多签钱包转移至地址0xec75a0bb45a07f6e23760c7fe8fcb2408a74348c后遭抛售,套现逾200万美元。CertiK同步发布安全警示,提示用户注意相关风险。
安全公司ReversingLabs披露新型供应链攻击手法:黑客利用以太坊智能合约实施新型攻击手段,在npm包中植入隐蔽恶意指令。监测数据显示,两款恶意npm包(colortoolsv2和mimelib2)通过动态查询以太坊合约获取后续攻击指令,替代传统的硬编码链接方式,显著提升攻击隐蔽性。攻击者同步
安全机构Scam Sniffer披露,知名开发者qix因遭遇钓鱼攻击导致npm生态多个核心软件包被植入恶意代码,受影响组件包括chalk、strip-ansi及color-convert等。攻击者通过劫持钱包功能、篡改以太坊/Solana交易收款地址,并在API响应中植入虚假地址实施资金窃取。Led
币安钱包9月9日声明,近期波及多个JavaScript包的供应链攻击未对其系统造成任何影响,用户数据与资产均处于安全状态。受攻击的JavaScript包周下载量超过20亿次。该交易所重申供应链安全的关键性,并强调安全防护仍是其最高优先级事项。
9月9日,Ledger首席技术官Charles Guillemet披露npm供应链攻击事件细节:攻击者通过伪造官方支持域名发送钓鱼邮件,非法获取用户凭证后发布恶意软件包更新。该攻击针对以太坊、Solana等区块链网络实施交易劫持,并篡改网络响应中的钱包地址。因攻击者操作失误导致CI/CD流程异常崩溃
Bubblemaps于9月9日披露,MYX代币空投期间疑似发生史上最大规模女巫攻击事件。分析显示,某实体控制的约100个地址通过OKX交易所获取资金后,在空投前一个月(4月19日6:50左右)集中接收相似数量的BNB代币,最终获取价值1.7亿美元的MYX代币。这些地址共申领980万枚MYX代币(约占
Blockstream于9月13日通过X平台发布警告,指出针对其Jade硬件钱包用户的电子邮件钓鱼攻击正在窃取加密货币及敏感信息。该公司强调不会通过邮件发送固件文件,并确认目前尚未发现数据泄露。
Socket Research Team于9月16日披露,周下载量达220万次的npm包@ctrl/tinycolor因恶意更新触发大规模供应链攻击,波及超40个关联包。受此影响的包体包含angulartics2@14.1.2、@ctrl/tinycolor@4.1.1/4.1.2、ngx-colo
疯狂比特