收款地址秒变骇客钱包！NPM 供应链攻击渗透币圈，Ledger 技术长曝「自保关键」

冷钱包大厂 Ledger 技术长 Charles Guillemet 周一引述研究报告示警，开源软体生态近日爆发供应链攻击，骇客在多个热门 NPM 套件中植入恶意程式，并透过这些每周合计下载量超过 26 亿次的开源工具，在用户毫不察觉的情况下劫持加密货币交易。

报告指出，知名开源开发者 Josh Junon（qix） 因落入钓鱼圈套，导致 Node Package Manager（NPM）帐号遭骇，而他所维护的多个 NPM 套件也因而被植入恶意程式，相关套件包括： chalk（每周下载量 2.9999 亿次）、 debug（每周下载量 3.576 亿次）和 ansi-styles（每周下载量 3.7141 亿次）等。

根据 Charles Guillemet 的说法，这波攻击的核心手法，是在用户不知情的情况下，窜改加密货币交易中的收款地址，将资金直接发送到骇客控制的钱包。

🚨 There’s a large-scale supply chain attack in progress: the NPM account of a reputable developer has been compromised. The affected packages have already been downloaded over 1 billion times, meaning the entire JavaScript ecosystem may be at risk.

The malicious payload works…

— Charles Guillemet (@P3b7_) September 8, 2025

Charles Guillemet 解释，NPM 是 JavaScript 生态中最广泛使用的软体套件托管平台，能让开发者轻松整合程式功能。然而，一旦开发者帐号遭入侵，骇客就能轻松将恶意程式悄悄植入套件，影响范围极广。

他指出，恶意程式会拦截交易地址，将用户输入的收款地址替换成骇客的地址。换言之，任何去中心化应用（dApp）或软体钱包，只要内含这些 JavaScript 套件，都有可能受波及，用户资金随时面临遭窃风险。

至于如何因应，Charles Guillemet 建议最可靠的办法，是使用具备安全萤幕、支援 Clear Signing 的冷钱包。他解释，这让用户能在签署前清楚检视交易细节，确认实际收款地址是否正确，有效避免收款地址在「看不见」的情况下被偷天换日。

没有安全萤幕的冷钱包，或任何不支援 Clear Signing 的钱包，都存在高度风险，因为用户无法准确验证交易资讯是否正确。

Charles Guillemet 最后呼吁，这起攻击事件再次提醒所有用户，永远不要盲目签署交易。

一定要验证交易资讯、切勿盲签，并使用带有安全萤幕的硬体钱包，确保每一次签署都是 Clear Sign 。

为确保资产安全，《区块客》提醒读者进行链上交易时，务必要注意：

• 转帐前逐一核对收款人地址与金额，避免误转或遭窜改。
• 贴上钱包地址后再次确认，警惕恶意程式自动替换。
• 定期检视近期交易纪录，及早发现异常状况。
• 大额交易建议优先使用冷钱包（硬体钱包），降低被盗风险。
• 若手边没有冷钱包，建议暂时避免进行链上交易，以免暴露于风险之中。