Web3反病毒软件(或称Web3安全堆栈)近日揭露了一起恶意NPM软件包威胁。该平台此前还曝光过合法Chrome扩展程序带来的风险。值得注意的是,智能合约漏洞利用及网络钓鱼与社会工程学攻击,预计将成为2026年需要重点防范的Web3安全威胁。
Web3安全问题预警
Web3反病毒软件在X平台发布公告,提醒社区发现某个恶意NPM软件包正在部署远程访问木马(RAT)。该软件包伪装成OpenClaw安装程序,主要目的是窃取macOS系统凭证。Web3反病毒软件进一步向社区通报了该恶意行为的实施方式。
该软件包在正常安装后会启动虚假命令行安装程序,随后索要macOS钥匙串密码。建议用户切勿提供密码,因为一旦泄露,该恶意软件可窃取多项关键信息,包括助记词、浏览器登录凭证、加密钱包数据以及SSH和云服务密钥。
所有这些信息最终都会传输至攻击者的服务器。由此可见,Web3领域正面临针对全球用户的多类型威胁。
此前曝光的威胁
Web3反病毒软件此前曾预警过合法Chrome扩展程序的风险,指出其在所有权转移后开始具有恶意行为。攻击者可借此向网页注入代码并窃取用户数据。据Web3安全堆栈分析,该扩展程序的更新版本移除了安全标头和指纹验证,随后从远程服务器拉取恶意脚本。
对加密社区而言,此类攻击可能导致交易会话被盗、钱包遭入侵、浏览器凭证泄露以及助记词网络钓鱼等后果。
被点名的两个扩展程序QuickLens和ShotBird分别拥有7,000和800名用户。
2026年主要Web3安全威胁
2026年Web3领域的主要安全威胁包括智能合约漏洞利用和网络钓鱼与社会工程学攻击。前者主要涉及代码中的逻辑错误、输入验证缺陷和访问控制失效等漏洞;后者则通过伪造通信或冒充合作方的方式,针对用户、开发者甚至项目创始人进行攻击。
其他重要威胁还包括钱包盗取工具、私钥篡改和价格预言机操纵。恶意行为的最终目的都是窃取数据、盗取资金或对系统造成负面影响。
常见漏洞类型涵盖访问控制失效、逻辑错误和未签名的API查询等。
今日加密新闻聚焦:
纳斯达克合作推进泛欧代币化证券交易与结算
