币圈界报道：

微软披露npm生态潜藏加密资产窃取威胁

微软近日发布安全通告，指出有黑客将用于盗取加密货币的恶意程序嵌入公开可访问的npm软件包中，对广大开发者、数字资产持有者及钱包使用者构成潜在风险。

远程控制木马悄然提取钱包密钥

相关恶意代码以远程访问后门形式部署，可在用户设备后台静默运行，自动捕获加密钱包的登录凭据与私钥信息。攻击者借助Hugging Face代码托管服务作为数据外传通道，有效规避常规网络行为检测机制。

软件供应链漏洞持续侵蚀加密信任体系

作为JavaScript生态的核心依赖管理平台，npm被广泛用于构建前端与服务器端应用。一旦开发人员引入被污染的第三方库，恶意脚本即可能在本地环境中长期驻留，实时监控敏感文件、账户密码及钱包配置数据。

依托高可信平台提升攻击隐蔽性

此次攻击策略的关键在于，攻击者利用人工智能研究社区普遍信赖的Hugging Face平台进行数据跳转。相比直接连接匿名服务器，此类流量更接近正常科研协作行为，显著降低被安全系统识别的概率。

多类敏感信息面临泄露风险

受感染设备上可能存储浏览器钱包记录、助记词文本、交易所API密钥、GitHub身份令牌以及云服务登录凭证等关键信息。一旦落入攻击者之手，将可能导致钱包资金被盗、代码仓库被篡改或交易系统遭定向入侵。

新型挖矿攻击借AI诱导传播

该警告紧随微软另一份报告发布，揭示攻击者正通过操控搜索引擎结果与伪造人工智能聊天机器人对话，诱导用户下载伪装成实用工具的恶意程序，进而部署GPU挖矿软件。

核心防护措施亟待强化

针对当前严峻态势，微软建议开发者立即审查近期安装的依赖项，剔除来源不明或异常行为的模块；及时更换已泄露的各类凭证，并持续监测钱包交易动态。加密用户应避免在联网设备中保存助记词，且在确认每笔操作前务必核实钱包地址与金额。