Hey 大家，如果你深耕 Solana 生态——无论是做 staking、还是交易那些火热的 meme 代币比如 BONK 或 WIF——你都知道安全有多重要。今天我们要聊一条让加密圈震动的重要警报：针对 JavaScript 开发者首选包管理器 NPM 的大规模供应链攻击。Solana 的顶级质押平台 Marinade Finance 刚发布了更新，安抚用户同时敦促大家保持警惕。此事源自 @SolanaFloor 的一串推文，我们来逐步拆解。

导火索：Ledger CTO 发出警报

一切始于 2025 年 9 月 8 日硬件钱包巨头 Ledger 的 CTO Charles Guillemet 的紧急帖子。在他的 X 帖子 中，Charles 警告称“一场大规模的供应链攻击正在进行”。要点是：一位知名开发者的 NPM 账号被入侵，恶意代码被注入到已被下载超过 10 亿次的流行包中。这不是笔误——这些被污染的包已经被全球项目拉取了十亿次。

对新手来说，NPM（Node Package Manager）就像 JavaScript 代码的应用商店。开发者用它来获取预构建工具以加速应用开发，包括在 Solana 等区块链上构建的去中心化应用。供应链攻击意味着攻击者破坏了源头，任何下载这些包的人都有可能在不知情的情况下安装到恶意软件。本次的隐蔽 payload 针对加密用户，会在交易中替换钱包地址——想象一下把 meme 代币的收益发给朋友，结果却进了黑客的口袋。

Charles 链接到了 Aikido Security 的详细报告，指出肇事包包括超流行的 debug​（每周下载量超过 3.57 亿）和 chalk​（近 3 亿）。这些并非冷门工具；它们是 Node.js 项目的常用依赖，包括构建 Solana 钱包和界面的项目。恶意程序会挂钩到浏览器函数，拦截跨链交易（如 Ethereum、Bitcoin 以及 Solana），并重写地址以抽取资金。它甚至会篡改授权和权限以便偷窃更加顺利，同时躲避基本检测。

Marinade Finance 出手：未受影响，但需保持警惕

进入场景的是 Solana 的流动质押龙头 Marinade Finance。他们专注于在高性能验证节点之间优化你的 SOL stakes，这对持有 meme 代币或长期 HODL 的人来说意义重大。在他们引用 Charles 帖子的官方 回应 中，团队表示：“我们正在监控正在进行的 NPM 供应链攻击。经反复核查我们的系统后，Marinade 未受影响。但我们仍建议大家在事态发展过程中保持警惕。我们将持续密切跟进并向社区更新。”

对 Solana 的质押者而言，这是一剂重大安慰。Marinade 的快速核查意味着他们的平台和用户资金未受到这起特定漏洞的影响。但正如他们所指出的，更广泛的 JavaScript 生态仍存在风险，鉴于许多 Solana 工具依赖这些包，谨慎为上是明智之举。

该更新也被 Solana 的资讯聚合器 @SolanaFloor 在其 推文 中放大：“更新：Solana 的顶级质押协议 @MarinadeFinance 表示正在监控正在进行的 NPM 供应链攻击。根据初步调查，Marinade 未受影响，但建议用户在更多信息出现前保持警惕。”

为什么这对 meme 代币交易者和 Solana 爱好者很重要

Solana 的高速低费网络是 meme 币的天堂，但也因此成为此类复杂攻击的目标。如果你在使用由 JavaScript 构建的 dApps、钱包或交易机器人（几乎都是），这次事件可能会间接影响你的使用环境。该恶意软件针对加密地址替换，对链上操作尤其危险——想想在 Jupiter 上交换代币或通过 Marinade 做 staking。即便你的钱包应用本身没有被入侵，网页界面中受污染的依赖也可能导致资金被掏空。

规模令人震惊：根据 Aikido 的分析，这些包每周有“数十亿”次下载。攻击在 9 月 8 日 13:16 UTC 左右开始爆发，在警报发出时潜在破坏已经非常巨大。虽然维护者已被通知并开始清理，但不是每个人会立即更新，因此风险仍在持续存在。

保持安全：面向加密用户的可操作建议

不要恐慌，但要采取行动。以下建议来自 Charles Guillemet 和安全专家，简明实用：

• 使用硬件钱包：如果还没用，入手一个 Ledger 或类似带有安全屏幕的硬件钱包。签名前务必逐项核对交易细节——寻找对“Clear Signing”支持的功能以验证地址没有被替换。
• 避免盲签名：绝不在未审核所有细节的情况下批准交易。如果看起来异常，就取消。
• 更新所有软件：检查你的 dApps、钱包和浏览器是否有更新。若可能，暂时避免使用软件钱包，因为报告对种子短语被窃取的情况仍存不确定性。
• 监控账户：通过像 Solscan 这样的浏览器持续关注你的 Solana 钱包。如果你在 Marinade 做 staking，他们的团队正在处理此事，但仍要启用所有安全功能。
• 给开发者的建议：审计你的依赖项。像 npm audit 或 Aikido 这样的工具可以标记问题。在未验证清洁前避开受影响的包。

Marinade 的主动处置再次提醒我们，在区块链这片丛林中，值得信赖的协议格外重要。随着事态发展，我们会在 Meme Insider 持续为你跟进——因为在 meme 代币交易以及更广泛的领域里，信息就是最好的防线。

如果你对这次攻击有看法，或想讨论它与 Solana meme 场景的关联，欢迎在下方留言。大家外出务必小心，degens 保重！