针对JavaScript代码的大规模黑客攻击利用恶意软件，早些时候引发了警报，然而根据Arkham Intelligence的数据，这次攻击迄今为止仅窃取了1,043美元的加密货币。

网络安全研究人员Wiz昨天发布了对“广泛”供应链攻击的分析，在一篇博客文章中写道，恶意行为者利用社交工程手段控制了Qix（Josh Junon）的一个GitHub账户，该账户是流行JavaScript代码包的开发者。

黑客发布了这些包的一些更新，添加了恶意代码，这些代码会激活API和加密钱包接口，并扫描加密货币交易，以便重写接收地址和其他交易数据。

令人担忧的是，Wiz的研究人员得出结论，10%的云环境中存在某种恶意代码的实例，而99%的云环境使用了黑客所针对的一些包——但并非所有这些云环境都下载了受感染的更新。

尽管该漏洞的潜在规模很大，但Arkham的最新数据显示，威胁行为者的钱包迄今为止仅收到相对较小的1,043美元。

在过去几天中，这一金额逐渐增加，主要涉及ERC-20代币的转账，单笔交易的金额在1.29美元到436美元之间。

同样的漏洞也扩展到了Qix的npm包之外，JFrog Security昨天的更新显示，DuckDB SQL数据库管理系统已被攻破。

该更新还表明，这次攻击“似乎是历史上最大的npm妥协”，突显了攻击的惊人规模和范围。

Wiz Research的研究人员告诉Decrypt，这种软件供应链攻击正变得越来越普遍。

“攻击者意识到，妥协单个包或依赖项可以让他们同时进入成千上万的环境，”他们说。“这就是为什么我们看到这些事件稳步上升，从拼写欺骗到恶意包接管。”

确实，过去几个月发生了许多类似事件，包括7月对以太坊ETHcode扩展的恶意拉取请求插入，导致超过6,000次下载。

Wiz Research表示，npm生态系统尤其频繁成为目标，因为它的流行程度以及开发者对传递依赖的依赖。

根据Wiz的说法，最新事件强化了保护开发管道的必要性，组织被敦促在整个软件供应链中保持可见性，同时监控异常包行为。

这似乎是许多组织和实体在Qix漏洞案例中所做的，他们在发布后两小时内就检测到了该漏洞。

快速检测是该漏洞财务损失保持有限的主要原因之一，但Wiz Research表示，还有其他因素在起作用。

“有效载荷被狭窄地设计为针对具有特定条件的用户，这可能减少了其影响范围，”他们说。

Wiz的研究人员补充道，开发者对这些威胁的意识也在提高，许多人已经采取了保护措施，以在可疑活动造成严重损害之前捕捉到它。

“我们总有可能看到影响的延迟报告，但根据我们今天所知，”他们说，“快速检测和清除工作似乎限制了攻击者的成功。”

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。