2025-12-30 05:24:56

Tháng 3 năm nay, cộng đồng nhà phát triển đã phát hiện ra một sự cố an ninh đáng báo động — hàng triệu lượt tải xuống các gói JavaScript đã bị nhúng mã độc đào tiền ảo. Những thành phần mã nguồn mở trông có vẻ vô hại này thực chất đã mang theo phần mềm trộm cắp tiền mã hóa do hacker thiết kế tinh vi. Kẻ tấn công đã làm nhiễu loạn các thư viện phụ thuộc cốt lõi trong hệ sinh thái npm, xây dựng một cơ chế lây lan mã độc tự động hoàn toàn.

**Cách hoạt động của cuộc tấn công ẩn 3 lớp**

Trung tâm của toàn bộ cuộc tấn công là "chiếm đoạt phụ thuộc" — khi bạn nhập khẩu thư viện bên thứ ba bị nhiễm vào dự án, mã độc sẽ âm thầm kích hoạt, bắt đầu quét các tệp ví tiền mã hóa trên máy cục bộ của bạn. Hệ thống này có ba thiết kế tinh quái:

Thứ nhất là **ngụy trang môi trường**. Chương trình chỉ hoạt động khi IP hoặc ngôn ngữ hệ thống phù hợp với khu vực nhất định, trong môi trường thử nghiệm sandbox thì giả vờ vô tội. Như vậy, các công cụ kiểm tra an ninh hoàn toàn không thể phát hiện ra.

Thứ hai là **nghĩa vụ khai thác khóa**. Đối với các ví desktop xây dựng bằng Electron, lợi dụng quyền truy cập tệp hệ thống để trực tiếp trộm khóa riêng tư. Người dùng hoàn toàn không nhận thức được điều này.

Thứ ba là **rửa tiền trên chuỗi**. Các tài sản bị đánh cắp sẽ qua cầu nối chuỗi chéo để biến thành đồng tiền ẩn danh, rồi chuyển vào các pool thanh khoản của một sàn DEX để làm sạch. Một khi dòng tiền đã vào lỗ đen của DeFi, việc truy vết gần như không thể.

**Tại sao hệ sinh thái mã nguồn mở lại mong manh như vậy**

Sự kiện này đã phơi bày điểm yếu chết người của thế giới mã nguồn mở: hơn 78% các dự án JavaScript dựa vào các thư viện bên thứ ba chưa từng qua kiểm tra an ninh. Hacker chỉ cần chiếm quyền của một người duy trì để chèn mã độc vào toàn bộ chuỗi phụ thuộc. Một khi nguồn nhiễm độc bị lây lan, tất cả các dự án sử dụng nó đều gặp nguy hiểm. Các tài sản bị đánh cắp sau đó sẽ qua cơ chế trộn tiền để chảy vào các mạng lưới tài chính ngầm. Điều này không chỉ là vấn đề kỹ thuật mà còn là mối đe dọa kinh tế mới trong kỷ nguyên số.

Xem bản gốc

Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.

6 thích

Phần thưởng
6
4
Đăng lại
Retweed

Bình luận

0/400

AirdropHunter

· 14giờ trước

Ôi Chúa ơi, hệ sinh thái npm có phóng đại như vậy không? Bất cứ ai cũng có thể đầu độc một cách tình cờ --- Bộ rửa tiền trên chuỗi thực sự tuyệt vời và một khi bạn tham gia vào nhóm thanh khoản của DEX, nó sẽ trở thành một tài sản ma --- 78%... Tôi nói rằng tôi thoải mái hơn khi viết thư viện, và bây giờ cuối cùng tôi cũng có lý do haha --- Do đó, nhà phát triển buộc phải là đồng phạm, và tài khoản bảo vệ sẽ chết ngay khi bị mất, điều này thực sự thái quá --- Chờ đã, vậy thì Kuan chúng ta sử dụng không an toàn, và tôi hơi hoảng sợ --- Trộn coin vào các coin riêng tư và sau đó rửa tiền DeFi, liên kết tấn công này được thiết kế hơi tàn nhẫn, nói một cách nhẹ nhàng, hơi nghệ thuật --- Đơn giản là mô hình tin cậy của npm đã sụp đổ và không ai muốn thay đổi nó --- Tôi thậm chí không biết làm thế nào để ngăn tin tặc quét các tệp ví cục bộ, vậy điều gì khác đang xảy ra? --- Chuỗi phụ thuộc là một xiềng xích độc hại, và tất cả những kẻ xấu ở thượng nguồn đều bị chôn vùi, điều này quá tuyệt vọng

Xem bản gốcTrả lời0

StakeTillRetire

· 14giờ trước

Tàn nhẫn đến mức nào, hệ sinh thái npm đã sụp đổ như thế này? --- Đó là lý do tại sao tôi không bao giờ tin tưởng vào thư viện của những người bảo trì nhỏ đó và chuỗi phụ thuộc bị sập trong một lần --- Đánh hơi phím tuyệt vời đến mức người dùng không thể phát hiện ra những gì đang xảy ra --- Vì vậy, cuối cùng, tiền chảy vào DEX đã thực sự biến mất, và việc trộn lẫn các đồng tiền là hoàn toàn không thể bảo vệ được --- Nhận thức về bảo mật của những người bảo trì dự án nguồn mở có tệ không, hãy để tôi xem xét lại tất cả các phụ thuộc của mình --- Sau khi suy nghĩ về nó, may mắn thay, khóa riêng tư của ví của tôi chưa bao giờ có trên thiết bị có kết nối internet và ví lạnh thực sự là một cứu cánh --- Thật thái quá, chỉ cần một tài khoản có thể đầu độc toàn bộ hệ sinh thái, npm nên phản ánh --- 78% dự án tương đương với việc chạy khỏa thân, điều này khiến tôi ớn lạnh sống lưng

Xem bản gốcTrả lời0

Token_Sherpa

· 15giờ trước

ngl chuỗi phụ thuộc ác mộng này chính xác là lý do tại sao tôi đã ngừng tin tưởng các gói "được kiểm toán" từ nhiều năm trước... các cuộc tấn công chuỗi cung ứng sẽ khác biệt khi toàn bộ hệ thống của bạn được xây dựng dựa trên mã chưa được kiểm duyệt

Xem bản gốcTrả lời0

SelfCustodyIssues

· 15giờ trước

Bây giờ hệ sinh thái npm đã thực sự kết thúc, ai dám sử dụng thư viện của bên thứ ba? --- Ngụy trang môi trường là một mánh khóe tuyệt vời, và hộp cát bị lừa, nó tàn nhẫn làm sao --- Vì vậy, tôi vẫn phải tự kiểm tra từng dòng mã, nó rất mệt mỏi --- Các nhóm thanh khoản DEX đã trở thành một hố đen rửa tiền và có một vấn đề với thiết kế của hệ thống DeFi --- Gỡ bỏ tài khoản người bảo trì có thể đầu độc toàn bộ chuỗi... Mã nguồn mở thực sự không thể tin được --- Đây là cuộc tấn công chuỗi cung ứng thực sự, đáng sợ hơn ransomware --- 78% thư viện chưa được kiểm toán? Vậy thì sự phụ thuộc vào dự án của tôi không phải là một quả bom hẹn giờ sao? --- Bạn có thể làm gì nếu khóa riêng tư của bạn bị đánh cắp trực tiếp, đây là rủi ro của việc tự lưu trữ --- Cầu nối chuỗi chéo vào các đồng tiền riêng tư và sau đó vào DEX là một tội ác hoàn hảo --- NPM nên buộc kiểm tra bảo mật trên mỗi gói, điều này hiện nay là quá tùy tiện

Xem bản gốcTrả lời0