“供应链攻击”来袭！敬告关注数字资产安全防护

Supply Chain Attack Targets Frontend Ecosystem

近日，业界发现一起大规模的 npm 前端“供应链攻击”——攻击者通过钓鱼手段入侵知名开发者（qix）的 npm 账号，发布多个热门 JavaScript 包（如 chalk、debug 等），其中藏有恶意代码。该恶意代码会在运行期劫持底层原生对象（如 Fetch、XHR、window.ethereum），扫描网络响应或参数中的地址字符串，然后使用内置的恶意地址列表里“最接近”的地址来替换被攻击者的地址。该攻击影响已覆盖 ETH、BTC（legacy/segwit）、TRON、LTC、BCH、SOL 等主流链资产。

什么是“供应链攻击”？

供应链攻击（Supply Chain Attack）是一种网络攻击方式，攻击者通过渗透或破坏供应链中的某个环节（如供应商、合作伙伴或第三方服务提供商），间接攻击目标组织或用户。通常，攻击者会利用供应链中的薄弱环节，植入恶意代码或篡改产品/服务，从而影响最终用户或目标系统。

本次前端“供应链攻击”关键攻击手段

邮件钓鱼：诱导维护者执行 2FA 重置操作，从而控制其 npm 账号；
发布恶意软件包：在数十个被广泛依赖的包中发布植入了恶意代码的新版本；
交易地址篡改：恶意代码在前端运行时，大范围扫描并将可能得交易地址替换成攻击者控制的地址。

Safeheron 已于第一时间对内部仓库进行全面排查，并确认目前所有产品均未受到影响。

前端供应链安全最佳实践

为了加强自身及客户的防护，Safeheron提倡并实施了以下针对前端供应链安全最佳实践：

版本锁定与安装方式控制：使用 npm ci（安装 package-lock.json 上锁版本），避免引入浮动版本的风险。
严格评估外部依赖：从项目 star 数量、维护活跃度、功能边界最小化等确定准入原则；同时确保依赖库的升级必须经过安全评估与扫描。
内网依赖缓存并定期审计：引入内网缓存代理，定期对新增依赖和存量依赖进行安全扫描，及时发现异常或风险版本。
安全情报快速响应：通过多渠道安全情报（如社区、厂商通告、漏洞库等），在第一时间获取攻击动态，对内部项目进行紧急评估与验证。

Safeheron 持续投入「纵深防御体系」

在供应链攻击以外，此次事件也凸显了其他关键安全环节的重要性，Safeheron 在相应的环节持续保持投入与加固：

钓鱼邮件双重验证机制：定期演练员工识别钓鱼邮件、验证来源真实性，确保内部通信安全。
可复现的构建与 OSS 防篡改监控：所有内部交付产物采用可复现构建流程，交叉验证。并建立对 Safeheron 负责的内外产物监控机制，确保在非预期的篡改发生时，第一时间报警和检查。
核心账号/权限管理与定期审查：对核心敏感账户、敏感系统关键权限收拢，定期强制修改密码，实施最小权限原则。

Safeheron 如何应对前端劫持和地址篡改

本次攻击依赖在交易最后一步通过前端代码篡改地址来实施，Safeheron 的安全体系已考虑这一风险场景并有对应的安全设计：

Safeheron 的 MPC 多方签名技术，依据零信任原则，每个节点都会独立的执行交易序列化，针对单点的攻击和数据篡改会被拦截。
App 严格实施「所见即所签」（What You See Is What You Sign）的原则，在交易审批时，对于陌生地址强制要求客户从其他可信源进行交叉验证，确保用户在签署交易前能准确校验地址。

在年初的 Bybit 安全事件发生后，Safeheron 已详细说明及演示过这些安全机制的设计 ⬇️