全球開源生態傳出重大資安事件。硬體錢包廠商 Ledger 技術長 Charles Guillemet 週一在 X 上警告，一場大規模供應鏈攻擊正在進行中。

據悉，有駭客入侵了一名知名開發者的 Node Package Manager（NPM） 帳號，並將惡意程式碼注入至多個廣泛使用的 JavaScript 套件中，該套件的累計下載量已超過 10 億次。

這些惡意程式具備「地址竄改」功能，能在使用者進行鏈上交易時悄悄替換錢包地址，將資金轉往駭客錢包。安全專家指出，若去中心化應用（DApp）、軟體錢包或其他使用受感染套件的服務被牽連，全球大量加密用戶可能面臨資金被竊風險，這起事件被稱為「史上最大規模的供應鏈攻擊」。

根據社群追蹤的資訊顯示，攻擊目標包含 chalk、strip-ansi、color-convert 等多個深埋在專案程式碼中的工具套件，幾乎所有 JavaScript 開發者都可能間接受影響。研究人員指出，駭客透過釣魚郵件冒充 NPM 官方，騙取維護者登入憑證後，成功推送帶有惡意程式的更新版本。資安專家警告，這類攻擊的危險在於其多層次滲透，除了竄改頁面內容，還可能干擾 API 呼叫與交易簽名過程，讓使用者誤以為自己操作的是合法交易。

簡單來說，只要 DApp、前端網站或軟體錢包引入了受影響的 JS 套件，當使用者發起鏈上操作（轉帳、Swap 等）時，惡意程式就會靜默替換目標地址為攻擊者地址，導致加密貨幣在不知不覺之中轉進攻擊者的錢包地址。

Guillemet 強調，此次事件顯示開源軟體間的高度互相依賴，一旦開發者工具出現漏洞，衝擊能在極短時間內傳導至整個加密經濟。他建議用戶務必使用具備安全螢幕並支援「清晰簽名」（Clear Signing）的硬體錢包，讓使用者在確認交易前，能清楚、完整地看到自己即將簽名的內容，如此一來才能確保每筆交易地址正確無誤，避免成為受害者。

雖然部分開發者因「鎖定版本」而避免了升級至受感染的套件，但由於使用者無法輕易判斷哪些網站或應用仍受影響，專家建議在漏洞完全清理之前，應謹慎使用相關應用或服務，並避免進行敏感的資金操作。