Solana Web3.js JavaScript库遭遇供应链攻击

重点摘要

• Solana Web3.js JavaScript库在供应链攻击中被植入恶意代码。
• 受影响的版本为1.95.6和1.95.7，下载时间长达五小时。
• 攻击影响了涉及私钥管理的去中心化应用程序(dapp)，而非非托管钱包。
• GitHub建议立即删除受影响的库版本，但无法保证清除所有恶意软件。

根据，广泛使用的Solana Web3.jsJavaScript库为去中心化应用程序(DApp)遭遇了一次供应链攻击，此次事件导致了两个恶意版本的发布，这些版本可以帮助攻击者提取DApp的私钥和资金。

遭受此次攻击的库版本为1.95.6和1.95.7，这两个版本于12月2日被下载了将近五个小时，随后被移除。SolanaWeb3.js的维护者表示：“此问题不应影响非托管钱包，因为它们通常在交易中不会暴露私钥。这不是Solana协议本身的问题，而是特定JavaScript客户端库的问题，仅影响直接处理私钥的项目。”

尽管此次攻击未影响主要的加密货币钱包，GitHub已建议立即删除这两个有问题的SolanaWeb3.js版本。GitHub指出：“该软件包应该被移除，但由于可能已将计算机的完全控制权交给外部实体，因此不能保证移除该软件包能够清除因安装它而导致的所有恶意软件。”

版本号 | 下载时间 | 影响
—|—|—
1.95.6 | 五小时 | 私钥泄露
1.95.7 | 五小时 | 私钥泄露

此次事件提醒开发者在使用开源库时保持警惕，确保库来源的安全性，以保护用户的资产安全。