交易所注册链接, ~40%折扣 insight加密货币套利会员群
【OKX Wallet:未受第三方组件安全事件影响,APP、插件端以及Web端均可安全使用】9月9日消息,针对「NPM供应链攻击」事件,OKX Wallet表示,OKX始终将系统安全置于首位,在产品研发与上线全流程中严格管控第三方组件使用风险。经内部核查与评估,OKXAPP基于安卓与iOS原生框架开发,不存在相关安全风险;OKX插件、Web应用及移动端DApp浏览器均未使用受影响版本的第三方组件,平台各项服务运行正常,用户可继续安心使用。
据悉,攻击者通过钓鱼邮件(伪装为npmjs支持)窃取了开发者qix的NPM账户凭证,进而向其发布的18个热门JavaScript包(包括chalk、debug-js等,周下载量超20亿次)注入恶意代码。此攻击被认为是史上最大规模的供应链攻击。
值得注意的是,该恶意代码并未尝试在本地环境植入木马或窃取文件,而是专门针对Web3场景:如果检测到浏览器环境中存在window.ethereum,便会劫持交易请求。恶意代码通过篡改浏览器的Ethereum和Solana交易请求,将资金重定向至攻击者控制的地址(如以太坊地址0xFc4a4858…),并通过替换JSON响应中的加密地址窃取资产。尽管页面显示正常交易地址,实际资金被转至攻击者地址。