Ledger CTO 更新 NPM 攻擊結果：駭客犯錯致攻擊失敗，幾乎沒有受害者

Ledger 技術長 Charles Guillemet 今日透過 X 平台發佈安全調查更新結果，指出幸運的是，這次 NPM 攻擊最終以失敗告終，幾乎沒有受害者。 （前情提要：Ledger警告「別交互鏈上合約」：JavaScript套件NPM遭駭，數十億裝置恐感染惡意代碼） （背景補充：安全公司警告：Perplexity AI 瀏覽器 Comet 恐被隱藏指令操控，洩露隱私資料）   Ledger 技術長 Charles Guillemet 昨（8）日發出的緊急警報讓加密社群瞬間陷入恐慌，Guillemet 在 X 上表示，駭客入侵了 JavaScript 生態系統的核心：NPM 套件庫，將惡意程式碼植入每週下載量逾 20 億次的熱門套件，鎖定加密貨幣用戶的資產。這場供應鏈攻擊僅短短數行程式碼，即讓整個 Web3 社群頓時籠罩在陰影之下，許多開發者和投資者擔憂資金安全，紛紛暫停鏈上交易。 NPM 攻擊以失敗告終 不過就在社群仍然深陷恐慌之際，Charles Guillemet 於今（9）日稍晚透過 X 平台發佈安全調查更新結果，指出幸運的是，這次攻擊最終以失敗告終，幾乎沒有受害者。 根據 Guillemet 的詳細說明，攻擊始於一封來自假冒 npm 支援域名的釣魚郵件，竊取了開發者憑證，使攻擊者能夠發布惡意套件更新。注入的程式碼針對網路加密活動，侵入以太坊、Solana 等區塊鏈以劫持交易，並直接在網路回應中替換錢包地址，讓用戶不知不覺中將資金轉移至駭客控制的帳戶。 不過，攻擊者的錯誤導致 CI/CD 管道崩潰，這使得攻擊在早期就被發現，影響範圍極為有限。不過 Guillemet 強調，這仍是一個明確的提醒：如果你的資金存放在軟體錢包或交易所，你距離失去一切僅一步之遙。供應鏈攻擊仍是強大的惡意軟體傳播途徑，眼前的危險或許已經過去，但威脅依然存在。 Update on the NPM attack: The attack fortunately failed, with almost no victims. It began with a phishing email from a fake npm support domain that stole credentials and gave attackers access to publish malicious package updates. The injected code targeted web crypto activity,… https://t.co/Ud1SBSJ52v pic.twitter.com/lOik6k7Dkp — Charles Guillemet (@P3b7_) September 9, 2025 資安問題不容忽視 所幸此次攻擊以失敗告終，但在加密貨幣領域，保護資產安全，也是每一個用戶需要時刻做好的功課。對用戶而言，為保護加密資產安全，許多專家都已建議使用硬體錢包，將私鑰儲存於離線環境；同時，每次進行鏈上交易前，務必要透過硬體錢包的透明簽署功能，仔細核對交易細節（如金額、地址），避免盲簽導致資金被轉至駭客地址；此外，還可啟用 2FA 驗證，優先選擇硬體金鑰或認證應用，並將種子短語以紙本形式離線儲存，切勿數位化保存。 一言以蔽之，保持警惕是關鍵：不點擊來源不明的釣魚郵件或連結，並追蹤可信來源以獲取安全警報，才可大大降低遭遇駭客攻擊的可能。   相關報導 MetaMask 新增 Google、Apple 社群登入功能，如何保障安全？ 比特幣投資入門：交易所操作、定投方法與安全保管技巧 安全公司 Kerberus 併購 Power Universe，強化加密錢包防護網〈Ledger CTO 更新 NPM 攻擊結果：駭客犯錯致攻擊失敗，幾乎沒有受害者〉。