安全提醒：另一知名開發維護者NPM帳戶遭入侵，被植入竊取錢包的惡意軟體

BlockBeats 消息，9 月 9 日，根據 Socket 監測，持續的 NPM 供應鏈攻擊已從知名開發者 Qix 擴散至另一位高知名度維護者，負責 DuckDB 相關套件的 NPM 帳號 duckdb_admin 遭到入侵，多個惡意版本被發布。注入的程式碼與 Qix 帳號受損時使用的錢包竊取惡意軟體相同，這強烈表明兩者屬於同一攻擊行動的一部分。

此前報導，Ledger CTO 表示，發生大規模供應鏈攻擊，整個 JavaScript 生態系統都可能面臨風險。但 NPM 攻擊者未能得逞，幾乎沒有受害者。