重點摘要
- 惡意程式碼於11月21日至23日期間被植入@ensdomains套件,針對GitHub、npm及雲端服務上的開發者憑證發動攻擊。
- 攻擊通過被入侵的維護者帳號擴散,並於標準安裝指令執行時自動運行。
- 受影響的套件包括gate-evm-check-code2、create-hardhat3-app、ethereum-ens,以及超過40個@ensdomains範疇的函式庫。
Ethereum Name Service ENS $11.61 24小時波動率:4.0% 市值:$439.48 M 24小時成交量:$72.23 M 軟體套件在一次供應鏈網路攻擊中遭到入侵,影響超過400個npm上的程式碼函式庫,npm是一個開發者分享和下載軟體工具的平台。ENS Labs表示,使用者資產和域名目前看來未受影響。
根據ENS Labs表示,團隊於11月24日世界協調時間上午5:49左右偵測到以@ensdomains開頭的套件受到影響,並已更新套件版本及更換安全憑證。由ENS運營的網站,包括app.ens.domains,未發現受影響跡象。
我們已確認,今日約於世界協調時間上午5:49發佈的部分以@ensdomains開頭的npm套件,可能受到Sha1-Hulud供應鏈攻擊影響,該攻擊已入侵超過400個NPM函式庫,包括多個ENS套件。
團隊已更新所有最新標籤,並且……
— ens.eth (@ensdomains) 2025年11月24日
根據Aikido Security(於11月24日首次偵測到該攻擊活動)指出,Zapier、PostHog、Postman及AsyncAPI的套件亦遭入侵。
加密貨幣相關套件亦受害
多個區塊鏈開發函式庫在這波大規模攻擊中中招。受影響的套件包括用於智能合約位元碼驗證的gate-evm-check-code2和evm-checkcode-cli、用於Ethereum ETH $2 964 24小時波動率:4.8% 市值:$357.84 B 24小時成交量:$32.76 B 專案腳手架的create-hardhat3-app,以及用於價格數據整合的coinmarketcap-api。
其他受影響的加密貨幣函式庫還包括ethereum-ens和crypto-addr-codec,後者負責加密貨幣地址編碼。@ensdomains範疇下超過40個套件遭到入侵。
此事件讓人聯想到今年四月在XRP Ledger套件中發現的後門,當時惡意程式碼被植入xrpl.js以竊取私鑰。
攻擊手法解析
惡意套件於11月21日至23日間上傳至npm。惡意軟體通過入侵維護者帳號並將程式碼注入其套件來傳播。當開發者執行標準安裝指令時,該程式碼會自動運行。
惡意軟體會從GitHub、npm及主要雲端服務收集開發者密碼和存取權杖。它會將竊取的數據發佈到公開的GitHub倉庫,並在受感染機器上建立隱藏的存取點以便未來攻擊。
GitHub搜尋顯示,目前有26,300個倉庫包含被竊取的憑證,分布於約350個被入侵帳號。隨著攻擊仍在持續,這一數字還在增加。
Koi Security研究人員發現了額外威脅。如果惡意軟體無法竊取憑證或傳送數據,它會刪除用戶主目錄下的所有檔案。
開發者應對措施
ENS Labs表示,若開發者在世界協調時間上午5:49偵測事件後11小時內未安裝ENS套件,則很可能未受影響。若於該時段內安裝過,應刪除node_modules資料夾、清除npm快取並更換所有憑證。
此事件是今年一系列加密貨幣安全漏洞後又一起考驗基礎設施項目的事件。GitHub正積極移除攻擊者創建的倉庫,但新的惡意倉庫仍不斷出現。
next
