டிஎல்; DR
ஒரே ஒரு npm பப்ளிஷர், பிளாக்செயின் மற்றும் வாலட் உருவாக்கத்திற்கான அன்றாட கட்டுமானத் தொகுதிகளைப் போன்ற பெயர்களைக் கொண்ட எட்டு சிறிய பேக்கேஜ்களை வெளியிட்டது. base58-utils, abi-encode, eth-dev, arb-kit, layer2-sdk, solana-key-utils, eth-wallet-helpers, மற்றும் crypto-validate-libஒவ்வொன்றும் செயல்படும் ஒரு பயன்பாட்டு நிரலைக் கொண்டுள்ளது. இருப்பினும், அந்தப் பயன்பாட்டு நிரலுக்குப் பிறகு, மாட்யூல் இறக்குமதி செய்யப்பட்ட கணத்திலேயே இயங்கத் தொடங்கும் ஒரு சுய-அழைப்பு நிரல் தொகுதி இணைக்கப்பட்டுள்ளது.
இறக்குமதி செய்த சுமார் 37 வினாடிகளுக்குப் பிறகுஅந்தத் தொகுதி, ஒரு சோதனை சாதனமாக மாறுவேடமிட்டு தொகுப்பிற்குள் அனுப்பப்படும் ஒரு தரவுக் கோப்பை மறைகுறியீடு நீக்கி, அதை பயனரின் முகப்பு அடைவின் கீழ் உள்ள ஒரு மறைக்கப்பட்ட கோப்பில் எழுதி, ஒவ்வொரு முறையும் மறுதொடக்கம் செய்ய தன்னைத்தானே பதிவுசெய்து கொள்கிறது. login விண்டோஸ், மேக்ஓஎஸ் மற்றும் லினக்ஸ் முழுவதும் இயங்கி, குறியீடு நீக்கப்பட்ட ஸ்கிரிப்டை ஒரு பிரிக்கப்பட்ட செயல்முறையாகத் தொடங்குகிறது. npm install செயல்பாட்டின் போது இது எதுவும் செயல்படாது; குறியீடு இறக்குமதி செய்யப்பட்டு இயக்கப்படும் வரை இது காத்திருக்கும், இது நிறுவுதலை விட அமைதியான ஒரு தருணமாகும்.
பேலோட் தெளிவற்றது அல்ல. அது சாதாரண பேஸ்64 ஆக அனுப்பப்படுகிறது, எனவே "சோதனை ஃபிக்ஸரை" டிகோட் செய்வது இரண்டாவது கட்டத்தை முழுமையாக மீட்டெடுக்கிறது: அ கிரிப்டோ-வாலட் மற்றும் ரகசியங்களைத் திருடுபவர் அது, இயந்திரம் செயலற்று இருக்கும் வரை காத்திருந்து, தனிப்பட்ட சாவிகள் மற்றும் தொடக்க சொற்றொடர்களைச் சேகரித்து, கண்டறியப்பட்ட ஒவ்வொன்றையும் நிரலில் நேரடியாகப் பதிக்கப்பட்ட RSA-4096 சாவி மூலம் குறியாக்கம் செய்து, அதை பொது IPFS சேமிப்பகத்தில் நிலைநிறுத்தி வெளியேற்றுகிறது, மேலும் ஒவ்வொரு 12 மணி நேரத்திற்கும் ஒருமுறை மீண்டும் சமிக்ஞை அனுப்புகிறது.
நாங்கள் கிளஸ்டரை இவ்வாறு கண்காணிக்கிறோம்: ஃபேன்டம்சிங்க்பகுப்பாய்வின் போது, எட்டு தொகுப்புகளும் ஒரே கணக்கின் கீழ் வெளியிடப்பட்டு, npm ரெஜிஸ்ட்ரியில் செயல்பாட்டில் இருந்தன.
| சூழல் | NPM |
| தொகுப்புகள் | base58-utils, abi-encode, eth-dev, arb-kit, layer2-sdk, solana-key-utils, eth-wallet-helpers, crypto-validate-lib |
| இலக்கு வைக்கப்பட்ட தளங்கள் | விண்டோஸ், மேகோஸ், லினக்ஸ் |
| முக்கிய நடத்தை | தாமதமான, இறக்குமதி நேர டிராப்பர் ஒரு சோதனை சாதனமாக மறைக்கப்பட்டுள்ளது; இது பல இயங்குதளங்களில் நிலைத்தன்மையை நிறுவுகிறது. |
| பேலோடில் | கிரிப்டோ-வாலட் மற்றும் இரகசியத் திருடன், RSA-4096 குறியாக்கம், பொது IPFS பின்னிங் வழியாகத் தரவு கசிவு |
தாக்குதல் உடற்கூறியல்
முதல் பார்வையில் ஒவ்வொரு தொகுப்பும் சாதாரணமாகத் தெரிகிறது. பேஸ்58-யூடில்ஸ்உதாரணமாக, இது சில கிலோபைட்டுகள் அளவிலான, எந்தச் சார்பும் இல்லாத பேஸ்58 / பிட்காயின்-WIF துணை நிரலாகும் — இதன் பெயர் குறிப்பிடுவது போலவே இது உள்ளது. தொடர்புடைய நிரல் இங்கு அமைந்துள்ளது. பிறகு தொகுதியின் தொகுதி.ஏற்றுமதிகள்கோப்பின் மேற்பகுதியை மேலோட்டமாகப் பார்க்கும் வாசகர் பார்க்க வாய்ப்பில்லாத ஒரு இடம்: டைமரைப் பயன்படுத்தித் தன்னைத்தானே திட்டமிடும் ஒரு செயல்பாடு.
தொகுப்பின் மூலக் குறியீட்டிலிருந்து புனரமைக்கப்பட்ட செயல்பாடுகளின் தொடர் பின்வருமாறு இயங்குகிறது:
1. Package is required() by the host project 2. A self-invoking function schedules a callback ~37,000 ms later (setTimeout) 3. On fire, the callback reads test/fixtures/keypairs.dat (a base64 blob) 4. It base64-decodes that blob into a Node.js script 5. It writes the script to ~/.cache-db/.node-sync/syncd.js (mode 0o700) 6. It installs login-persistence for that script (see below) 7. It spawns "node syncd.js" as a detached process இரண்டு வடிவமைப்புத் தேர்வுகள் தனித்து நிற்கின்றன.
அந்தச் சுமை ஒரு சோதனை சாதனமாகப் பயணிக்கிறது. இரண்டாவது கட்டம் வெளிப்படையான குறியீடாக எழுதப்படவில்லை. அது ... இல் உள்ளது. test/fixtures/keypairs.datதிறவி இணைகளைக் கையாள்வதாகக் கூறும் ஒரு தொகுப்பின் பெயருடன் இயைந்துபோகும் ஒரு பேஸ்64 கோப்பு. அந்த டார்பாலை மேலோட்டமாகப் பார்க்கும் ஒரு மனிதருக்கு, அது மாதிரித் தரவு போலத் தெரிகிறது; ஆனால் அதனுடன் இணைக்கப்பட்டுள்ள குறியீட்டிற்கு, அது குறியீட்டைப் பிரித்து இயக்க வேண்டிய ஒரு ஸ்கிரிப்ட் ஆகும். அந்த டிராப்பரில் பிணைய முகவரி எதுவும் இல்லை — அவை இரண்டாம் கட்டத்தில் உள்ளன — ஆனால் கூடுதல் மறைப்பு எதுவும் இல்லை: அந்த ஃபிக்சர் பேஸ்64-இன் ஒற்றை அடுக்கு என்பதால், அதன் குறியீட்டைப் பிரிப்பது (பேஸ்64 -டிமுழுமையாக மீட்கிறது syncd.js மற்றும் அதன் பிணைய நடத்தை. மீட்கப்பட்ட அந்த நிலை என்ன செய்கிறது என்பதை அடுத்த பகுதி விவரிக்கிறது.
வெடிப்பு தாமதப்படுத்தப்பட்டுள்ளது மற்றும் அது நிறுவலுடன் அல்லாமல், இறக்குமதியுடன் பிணைக்கப்பட்டுள்ளது. ஏனெனில் தூண்டுதல் தேவை() மேலும், ஒரு இன்ஸ்டால் ஹூக்கிற்குப் பதிலாக சுமார் 37 வினாடி டைமரைப் பயன்படுத்துவதால், இந்தச் செயல்பாடு, வெறும் கண்காணிக்கும் சோதனைகளைத் தவிர்க்கிறது. npm நிறுவு இந்த படிநிலையில், பல குறுகிய கால சாண்ட்பாக்ஸ் மற்றும் சிஐ சோதனைகளை விட இந்தத் தாமதம் நீடிக்கிறது. ஏதேனும் இயங்குவதற்குள், அந்தத் தொகுப்பை உள்ளிழுத்த நிறுவல் வெகுநாட்களுக்கு முன்பே முடிந்துவிட்டிருக்கும்.
குறியீடு நீக்கப்பட்ட ஸ்கிரிப்ட் வட்டில் கிடைத்தவுடன் ~/.cache-db/.node-sync/syncd.js — ஒரு வழக்கமான கேச் கோப்பகம் போல படிக்கத் தேர்ந்தெடுக்கப்பட்ட ஒரு பாதை — இந்த டிராப்பர், மூன்று முக்கிய இயங்குதளங்களிலும் கணினியை மறுதொடக்கம் செய்த பிறகும் அது நிலைத்திருக்கச் செய்கிறது:
- லினக்ஸ்: ஸ்கிரிப்டை மீண்டும் தொடங்கும் ஒரு க்ரான் பதிவு. ஏற்கனவே உள்ள க்ரான்டாப்பை வடிகட்டுவதன் மூலம் இந்தப் பதிவு நிறுவப்படுகிறது. grep -v syncdஇதனால், அதே பெயரைக் கொண்டு தேடும்போது, புதிய பதிவு ஒரு சாதாரணப் பட்டியலிலிருந்து விடுபட்டுவிடும் ஒரு பக்க விளைவும் ஏற்படுகிறது.
- விண்டோஸ்: பெயரிடப்பட்ட ஒரு திட்டமிடப்பட்ட பணி WinNodeSync12 நிமிட இடைவெளியில் மீண்டும் ஒளிபரப்பப்படுமாறு அமைக்கப்பட்டுள்ளது.
- MacOS: பெயரிடப்பட்ட ஒரு தொடங்கப்பட்ட வேலை com.apple.syncdபல தொகுப்புகளில் காணப்படும் — இது ஒரு முறையான ஆப்பிள் சிஸ்டம் சேவையைப் போலத் தோற்றமளிக்கும் ஒரு குறியீடு.
பின்னர் அந்த ஸ்கிரிப்ட் உடனடியாக ஒரு பிரிக்கப்பட்ட செயல்முறையாகத் தொடங்கப்படுகிறது, எனவே இறக்குமதி செய்யும் நிரல் வெளியேறிய பிறகும் அது தொடர்ந்து இயங்கும்.
இரண்டாவது கட்டம் என்ன செய்கிறது
இந்த ஃபிக்சர் ஒரே ஒரு பேஸ்64 லேயராக இருப்பதால், இரண்டாம் கட்டம் பிழையின்றி டிகோட் செய்யப்பட்டு முழுமையாகப் படிக்கப்படுகிறது. எட்டு தொகுப்புகளும் ஒரே ஸ்கிரிப்ட்டின் மூன்று வகைகளில் ஒன்றைக் கொண்டுள்ளன, இது ஒரு ஹெடர் கமெண்டில் தன்னை இவ்வாறு அடையாளப்படுத்துகிறது: phantom syncd v3 — Topo durmiente (“உறங்கும் மோல்”). கிரிப்டோகரன்சி வாலட் தொடர்பான தகவல்களையும் டெவலப்பர் ரகசியங்களையும் திருடி, அவற்றை அந்த இயந்திரத்திலிருந்து வெளியே அனுப்புவதே இதன் வேலை. இது பின்வரும் படிகளில் இயங்குகிறது:
- 1. இயந்திரம் செயலற்று இருக்கும் வரை காத்திருங்கள். எதையும் செய்வதற்கு முன், syncd.js பயனர் எவ்வளவு நேரம் செயலற்ற நிலையில் இருந்துள்ளார் என்பதைச் சரிபார்த்து, ஒரு குறிப்பிட்ட வரம்பை (சுமார் 15 நிமிடங்கள்) கடந்த பின்னரே அடுத்தகட்டத்திற்குச் செல்கிறது. xprintidle லினக்ஸில், ioreg macOS-இல் HIDIdleTime மற்றும் Windows-இல் ஒரு PowerShell செயலற்ற நேர வினவல். எனவே, விசைப்பலகையில் யாரும் இல்லாதபோது தரவு சேகரிப்பு நிகழ்கிறது.
- 2. தொலைவிலிருந்து இயக்கப்படும் செயல்படுத்தும் சுவிட்சைக் கொண்டு வாருங்கள்.இந்த ஸ்கிரிப்ட் செயல்படுவதற்கு முன்பு, ஒரு டெட்-டிராப்பிலிருந்து ஒரு சிறிய கான்ஃபிக்கை எடுக்கிறது. இதன் முதன்மை ஆதாரம் ஒரு கிட்ஹப் கிஸ்ட் ரா URL ஆகும்.gist.githubusercontent.com/juang55/…/cfg.txtஅந்த உள்ளமைவு இவ்வாறு இருந்தால் மட்டுமே ஸ்கிரிப்ட் செயல்படும். செயலில் உள்ளது=1சாராம்சம் கிடைக்கவில்லை என்றால், அது பொது நுழைவாயில்கள் மூலம் பெறப்படும், நிரலில் நேரடியாக உள்ளமைக்கப்பட்ட மூன்று IPFS உள்ளடக்க அடையாளங்காட்டிகளைப் பயன்படுத்தத் தொடங்குகிறது. gateway.pinata.cloud, ipfs.io, மற்றும் cloudflare-ipfs.comஇது இயக்குபவருக்கு, சம்பவம் நடந்த பிறகு ஆயுதத்தை இயக்க/நிறுத்துவதற்கான கட்டுப்பாட்டையும், வீழ்த்தப்படுவதை எதிர்க்கும் ஒரு மாற்று ஏற்பாட்டையும் வழங்குகிறது. (மிகச்சிறிய வகை, இதில் அனுப்பப்படுகிறது) கிரிப்டோ-வேலிடேட்-லிப், eth-wallet-helpers, மற்றும் சோலானா-கீ-யூடில்ஸ்(இதில், சாராம்ச அடுக்கு அகற்றப்பட்டு, IPFS அடையாளங்காட்டிகளை மட்டுமே சார்ந்துள்ளது.)
- 3. பணப்பைக்கான ஆதாரங்களையும் இரகசியங்களையும் சேகரியுங்கள். இந்த ஸ்கிரிப்ட் பயனரின் முகப்பு கோப்பகத்தை ஆராய்கிறது. ~/.config/solana, ~/.ethereum/keystore, ~/.foundry, ~/.hardhat, ~ / .ssh, மற்றும் டெஸ்க்டாப்/ஆவணங்கள்/இறக்கம் (ஸ்பானிஷ் மொழி கோப்புறை பெயர்கள் உட்பட), மேலும் ~/.env மற்றும் ஷெல் ஆர்சி கோப்புகள், மற்றும் அதற்கு இணையானவை AppData விண்டோஸில் உள்ள இடங்களை இது குறிவைக்கிறது. இது எத்தேரியம் தனிப்பட்ட சாவிகள், பிட்காயின் WIF சாவிகள், BIP-39 தொடக்க சொற்றொடர்கள், சோலானா சாவி இணைகள், எத்தேரியம் கீஸ்டோர் JSON, SSH சாவிகள் மற்றும் இரகசியத்தைக் கொண்ட சூழல் மாறிகள் ஆகியவற்றை இலக்காகக் கொண்டுள்ளது. இதன் பெரிய மாறுபாடு (இல்) abi-encode, பேஸ்58-யூடில்ஸ், எத்-டெவ்) முழுமையான 2048-சொற்கள் கொண்ட BIP-39 அகராதியைக் கொண்டுள்ளது மற்றும் வழக்கமான வெளிப்பாடுகளைப் பயன்படுத்துகிறது சாறு அது படிக்கும் எந்தவொரு உரையிலிருந்தும் தனிப்பட்ட திறவுகோல்களையும் சரிபார்க்கப்பட்ட தொடக்க சொற்றொடர்களையும் பெறுகிறது; அதற்கு பதிலாக, இரண்டு சிறிய வகைகள் முக்கியச்சொல் மூலம் கோப்புகளைப் பொருத்துகின்றன (விதை, நினைவூட்டல், பணப்பை, metamask, மறைமுக, பேரேடு, trezor( , …) மற்றும் முழு கோப்புகளையும் பதிவேற்றவும்.
- 4. ஒரு பொது பின்னிங் சேவை மூலம் குறியாக்கம் செய்து வெளியேற்றவும். ஒவ்வொரு கண்டுபிடிப்பும் ஒரு ஹோஸ்ட் கைரேகையுடன் தொகுக்கப்பட்டுள்ளது (பயனர்பெயர்@ஹோஸ்ட்பெயர், தளம், நேரமுத்திரை) மற்றும் ஸ்கிரிப்ட்டில் உட்பொதிக்கப்பட்ட, நிரலில் நேரடியாகப் பதியப்பட்ட RSA-4096 பொதுத் திறவுகோலைக் கொண்டு மறைகுறியாக்கம் செய்யப்படுகிறது. பின்னர், மறைகுறியாக்கம் செய்யப்பட்ட அந்தப் பதிவு, அதன் வழியாக IPFS-க்கு நிலைநிறுத்தப்பட்டுப் பதிவேற்றப்படுகிறது. api.pinata.cloud/pinning/pinJSONToIPFSநிரலில் நேரடியாகப் பதியப்பட்ட Pinata API சான்றுகளைக் கொண்டு அங்கீகரிக்கப்பட்டது. கைப்பற்றுவதற்கு என பிரத்யேக C2 சேவையகம் எதுவும் இல்லை: திருடப்பட்ட தரவு பொதுவான பரவலாக்கப்பட்ட சேமிப்பகத்தில் வைக்கப்பட்டுள்ளது, அதன் விளைவாகக் கிடைக்கும் உள்ளடக்க ஹாஷ்களைப் பயன்படுத்தி இயக்குபவரால் அதை மீட்டெடுக்க முடியும். பதிவேற்றங்களுக்கு இடையே சில வினாடிகள் சீரற்ற இடைவெளி விடப்பட்டுள்ளது, மேலும் ஒரு உள்ளூர் பதிவேடும் உள்ளது. நேரமுத்திரை | திறவுகோல் வகை | திரும்பிய ஹாஷ் வைக்கப்பட்டுள்ளது ~/.cache-db/.node-sync/.sl.
- 5. 12 மணி நேர சுழற்சியில் தொடர்ந்து செயல்பட்டு, சமிக்ஞை கொடுங்கள். இரண்டாவது கட்டம் அதன் சொந்த நிலைத்தன்மையை மீண்டும் நிறுவுகிறது — லினக்ஸில் ஒரு க்ரான் பதிவு, ஒரு com.apple.syncd macOS-இல் ஒரு பணி தொடங்கப்பட்டது, மற்றும் பெயரிடப்பட்ட ஒரு திட்டமிடப்பட்ட பணி விண்டோஸ் நோட் ஒத்திசைவு விண்டோஸில் — ஒவ்வொரு 12 மணி நேரத்திற்கும் ஒருமுறை மீண்டும் இயங்குமாறு அமைக்கப்பட்டுள்ளது. இது ஒரு வெவ்வேறு டிராப்பர் நிறுவும் விண்டோஸ் டாஸ்க் பெயர் (WinNodeSyncஇரண்டுமே தேடுவதற்குத் தகுதியானவை.
காலக்கெடு
அந்த எட்டுத் தொகுப்புகளும் 2026-07-13 மற்றும் 2026-07-14 ஆகிய தேதிகளில் மிகக் குறுகிய காலத்திற்குள் வெளியிடப்பட்டன. அவற்றில் பல, ஒன்றுக்கு மேற்பட்ட பதிப்புகளைக் கொண்டுள்ளன; டிராப்பர் அனைத்துப் பதிப்புகளிலும் ஒரே மாதிரியாக உள்ளது, அதற்கு மேலே உள்ள தீங்கற்ற பயன்பாட்டுக் குறியீட்டின் அளவு மாறும்போது வரிகளின் இடப்பெயர்வுகள் மட்டுமே மாறுகின்றன.
| தேதி | நிகழ்வு |
|---|---|
| 2026-07-13 | கிளஸ்டரில் உள்ள முதல் தொகுப்புகள் ஒரு வெளியீட்டாளரின் கீழ் தோன்றும் (solana-key-utils, eth-wallet-helpers, crypto-validate-lib மற்றும் மீதமுள்ளவற்றின் ஆரம்பகால பதிப்புகள்) |
| 2026-07-13 → 07-14 | மீதமுள்ள பெயர்களும் தொடர் பதிப்புகளும் வெளியிடப்பட்டன; ஒவ்வொன்றிலும் அதே இணைக்கப்பட்ட துளிப்பான் கப்பல்கள் உள்ளன. |
| 2026-07-14 | எட்டும் குறியிடப்பட்டு பகுப்பாய்வு செய்யப்பட்டன; ஒவ்வொரு தொகுப்பும் பதிவகத்திலிருந்து இன்னும் நிறுவக்கூடியதாக உள்ளது. |
இந்த திடீர் அதிகரிப்பின் போது, தொகுப்பியின் தொடக்கத்தில் ஏறக்குறைய நடுநிலையாக இருந்த வெளியீட்டாளரின் பதிவக நற்பெயர், கண்டறிதல்கள் குவியக் குவிய மிகவும் கடுமையாக எதிர்மறையானது — இது தொகுப்புகள் குறியிடப்பட்டதன் கண்கூடான ஒரு பக்க விளைவே தவிர, வடிவமைக்கப்பட்ட அம்சம் அல்ல.
சமரசத்தின் குறிகாட்டிகள்
கீழே உள்ள அனைத்து குறிகாட்டிகளும் பகுப்பாய்வு நேரத்தில் இருப்பது உறுதிசெய்யப்பட்டது — அதாவது, “இரண்டாம் நிலை” அட்டவணைகளில் உள்ளவை, குறியீட்டைப் பிரித்தல் மூலம் உறுதிசெய்யப்பட்டன. test/fixtures/keypairs.dat மீட்கப்பட்டதைப் படித்தல் syncd.js.
கோப்புகள் மற்றும் பாதைகள்
| காட்டி | செயல்பங்கு |
|---|---|
~/.cache-db/.node-sync/syncd.js | குறியீடவிழ்க்கப்பட்ட இரண்டாம் நிலை, 0o700 பயன்முறையில் எழுதப்பட்டது. |
~/.cache-db/.node-sync/.sl | உள்ளூர் தரவு கசிவுப் பதிவேடு (நேரமுத்திரை | திறவுகோல் வகை | IPFS ஹாஷ்) |
test/fixtures/keypairs.dat | பேஸ்64 குறியாக்கம் செய்யப்பட்ட பேலோட், ஒரு "சோதனை அமைப்பாக" டார்பாலுக்குள் நிலைநிறுத்தப்பட்டது. |
இரண்டாம் கட்ட பிணைய உள்கட்டமைப்பு (syncd.js இலிருந்து மீட்கப்பட்டது)
| காட்டி | செயல்பங்கு |
|---|---|
gist.githubusercontent.com/juang55/b298754cb72942b1cdcf02ccd45cde2f/raw/cfg.txt | செயல்படுத்தல் இணைப்புத் துண்டிப்பு; உள்ளமைவு பின்வருமாறு இருந்தால் மட்டுமே ஸ்கிரிப்ட் இயங்கும். active=1 |
Qmcqz3w8j4qFQXDAXAxnrdc2oSX3nzBT4NqtpTqL8mr1ga | IPFS உள்ளமைவு மாற்று (CID) |
QmdTXoqVmTHY1i4ZWLdLkoQ9YChp5TXPh5cWXwnAYZt5iF | IPFS உள்ளமைவு மாற்று (CID) |
QmfJkLU5gdCpqbbqEjWYC2anXW9FmuEeSLLeLiHVJKYUjp | IPFS உள்ளமைவு மாற்று (CID) |
gateway.pinata.cloud, ipfs.io, cloudflare-ipfs.com | உள்ளமைவு மாற்றுக்கோப்பைப் பெறப் பயன்படுத்தப்படும் IPFS நுழைவாயில்கள் |
api.pinata.cloud/pinning/pinJSONToIPFS | தரவு கசிவு முனையம், திருடப்பட்ட தரவு பொது IPFS இல் நிலைநிறுத்தப்பட்டுள்ளது. |
| பினாட்டா ஏபிஐ விசை | 13c766575b9270a9825dநிரலில் நேரடியாகப் பதியப்பட்ட தரவு கசிவுச் சான்று |
இரண்டாம் கட்ட சேகரிப்பு இலக்குகள் (syncd.js இலிருந்து மீட்கப்பட்டவை)
| காட்டி | செயல்பங்கு |
|---|---|
~/.config/solana, ~/.ethereum/keystore, ~/.foundry, ~/.hardhat, ~/.ssh, ~/.env, ஷெல் ஆர்சி கோப்புகள் | திறவுகோல்கள் மற்றும் இரகசியங்களுக்காக கோப்பகங்கள்/கோப்புகள் தேடப்பட்டன. |
AppData\Roaming\Solana, AppData\Local\ethereum\keystore | விண்டோஸ் சமமானவை தேடப்பட்டன |
| சேகரிக்கப்பட்ட கலைப்பொருட்களின் வகைகள் | ETH தனிப்பட்ட சாவிகள், பிட்காயின் WIF, BIP-39 தொடக்க சொற்றொடர்கள், சோலானா சாவி இணைகள், எத்தேரியம் கீஸ்டோர் JSON, SSH சாவிகள், இரகசிய சூழல் மாறிகள் |
நிலைத்தன்மை கலைப்பொருட்கள்
| மேடை | காட்டி |
|---|---|
| லினக்ஸ் | க்ரான் நுழைவு தொடங்குதல் syncd.jscrontab மூலம் வடிகட்டப்பட்டு நிறுவப்பட்டது grep -v syncd |
| விண்டோஸ் | திட்டமிடப்பட்ட பணி WinNodeSync (துளி) மற்றும் WindowsNodeSync (இரண்டாம் கட்டம்) |
| MacOS | launchd லேபிள் com.apple.syncd |
| அனைத்து கிரகங்கள் | இரண்டாம் கட்டம் 12 மணி நேர சுழற்சியில் மீண்டும் தொடர்கிறது. |
நடத்தை
- பின்னர் இணைக்கப்பட்ட சுய-அழைப்பு செயல்பாடு தொகுதி.ஏற்றுமதிகள், திட்டமிடல் a நேரம் முடிந்தது இறக்குமதியின் போது சுமார் 37,000 மில்லி விநாடிகள்.
- குழந்தை_செயல்முறை "முடிச்சு" ஐ உருவாக்கு ) பிரிக்கப்பட்ட விருப்பம் அமைக்கப்பட்ட நிலையில்.
- இரண்டாம் கட்டத்தில் செயலற்ற-கேட்டட் செயல்படுத்தல் (xprintidle / ioreg HIDIdleTime / பவர்ஷெல் செயலற்ற நேரம்; (சுமார் 15 நிமிட வரம்பு).
- முன்-கண்டறிதல் RSA-4096 குறியாக்கம், பின்னர் HTTPS போஸ்ட் ஒரு பொது IPFS பின்னிங் API க்கு.
தொகுப்புகள் மற்றும் பதிப்புகள் (npm, வெளியீட்டாளர் solbuilder_io)
| தொகுப்பு | பதிப்புகள் |
|---|---|
base58-utils | 1.0.0, 1.0.1, 1.0.3 |
abi-encode | 1.0.0, 1.0.1, 1.0.2 |
eth-dev | 1.0.0, 1.0.1, 1.0.2 |
arb-kit | 1.0.0, 1.0.1 |
layer2-sdk | 1.0.0, 1.0.1 |
solana-key-utils | 1.0.0 |
eth-wallet-helpers | 1.0.0 |
crypto-validate-lib | 1.0.0 |
வெளியீட்டாளர்
- solbuilder_io - angel_lopez89[@]proton[.]meமின்னஞ்சல் சரிபார்க்கப்படவில்லை, சரிபார்க்கப்பட்ட மூலக் கட்டுப்பாட்டுக் கணக்கு இல்லை, இணைக்கப்பட்ட களஞ்சியம் இல்லை.
காரணம் கற்பித்தல் மற்றும் கவனிக்கப்பட்ட நடத்தை
இந்த எட்டு தொகுப்புகளும் ஒரே வெளியீட்டாளர் கணக்கையும் ஒரே பேலோடையும் பகிர்ந்து கொள்கின்றன. ஒவ்வொன்றும் ஒரு சாதாரண தொகுப்பாகும் — ஒரே டிராப்பர் இணைக்கப்பட்ட சில கிலோபைட்டுகள் கொண்ட உண்மையான பயன்பாட்டுக் குறியீடு — இது இணைக்கப்பட்ட களஞ்சியம் இல்லாமலும், சரிபார்க்கப்படாத, ஒருமுறை பயன்படுத்தக்கூடிய பாணியிலான மின்னஞ்சலின் கீழும் வெளியிடப்படுகிறது. அந்த சீரான தன்மை, பகிரப்பட்ட டிராப் பாதை, பகிரப்பட்ட நிலைத்தன்மை லேபிள்கள், மற்றும் பகிரப்பட்ட keypairs.dat ஸ்டேஜிங் கோப்புகள்தான் கிளஸ்டரை ஒன்றாக இணைக்கின்றன.
அந்தப் பொதிகள் தங்களின் சொந்த நடத்தையைப் பற்றி வழக்கத்திற்கு மாறாக வெளிப்படையாக இருக்கின்றன. சோலானா-கீ-யூடில்ஸ் இணைக்கப்பட்ட தொகுதியை எளிய சொற்களில் விவரிக்கும் உள்ளடக்கக் கருத்துகளைக் கொண்டுள்ளது — அவற்றில் ஒன்று அதற்குப் பெயரிடுகிறது. மாயை: கண்ணுக்குப் புலப்படாத நிலைத்தன்மைமற்றொன்று (ஸ்பானிஷ் மொழியில்) இவ்வாறு கூறுகிறது: Ejecutar topo en background“பின்னணியில் உளவாளியை இயக்கு.” இவை, குறியீடு என்ன செய்கிறது என்பதற்கான அதன் சொந்த விளக்கக் குறிப்புகள்; இந்தப் பதிவில் உள்ள பிரச்சாரத்தின் பெயர், அந்த முதல் குறிப்பிலிருந்தும், “sync daemon” என்ற போலி முனையத்திலிருந்தும் எடுக்கப்பட்டுள்ளது.ஒத்திசைவுஅந்த நிலைத்தன்மை பொறிமுறை பின்பற்றும் ஒன்று.
குறியீடு வெளிப்படையாக என்ன செய்கிறது என்பதை மட்டுமே நாங்கள் விவரிக்கிறோம். தொகுப்புகளின் பெயரிடல் — அனைத்தும் கிரிப்டோ, வாலட் மற்றும் பிளாக்செயின்-டூலிங் சொற்கள் — அவற்றை பெயரால் இழுக்க வாய்ப்புள்ள டெவலப்பர் பார்வையாளர்களைக் குறிக்கிறது; அது மட்டுமே வெளியீட்டாளர் யார் என்பதை நிறுவுவதில்லை. பேஸ்64 ஃபிக்ஸரை டிகோட் செய்வதன் மூலம் இரண்டாம் கட்டத்தை முழுமையாக மீட்டெடுக்க முடிந்தது, மேலும் அதன் நடத்தை மேலே விவரிக்கப்பட்டுள்ளது: அது வாலட் சாவிகள், சீட் சொற்றொடர்கள் மற்றும் இரகசியங்களைச் சேகரித்து, அவற்றை RSA-குறியாக்கம் செய்து, பினாட்டா வழியாக பொது IPFS சேமிப்பகத்திற்கு வெளியேற்றுகிறது. ஒரு குறிப்பிடத்தக்க வடிவமைப்புத் தேர்வு, ஒரு தனிப்பட்ட C2 சேவையகம் இல்லாதது ஆகும் — உள்ளமைவு ஒரு GitHub கிஸ்ட் மற்றும் IPFS-இலிருந்து வருகிறது, மேலும் திருடப்பட்ட தரவு உள்ளடக்க ஹாஷ் மூலம் குறியிடப்பட்ட பொது பரவலாக்கப்பட்ட சேமிப்பகத்தில் நிறுத்தப்படுகிறது, இவை இரண்டும் தாக்குபவரால் கட்டுப்படுத்தப்படும் ஒற்றை ஹோஸ்டைக் கைப்பற்றுவதை விட கடினமானவை. இந்தக் கட்டுரையை எழுதும் நேரத்தில், இந்த கிளஸ்டருடன் பொருந்தக்கூடிய முந்தைய பொது அறிக்கை எதுவும் கண்டறியப்படவில்லை.
பாதுகாவலர்களுக்கான தாக்கம், போக்குகள் மற்றும் வழிகாட்டுதல்
யார் பாதிக்கப்பட்டுள்ளார். இந்தத் தொகுப்புகளில் ஒன்றை ஒரு நோட் (Node) திட்டத்தில் சேர்த்து, பின்னர் அதை இறக்குமதி செய்யும் குறியீட்டை இயக்கிய எவரும். வெடிப்பு என்பது நிறுவும் நேரத்தில் நடப்பதற்குப் பதிலாக இறக்குமதி நேரத்தில் நடப்பதால், தொகுப்பு வெறுமனே இருப்பது மட்டும் போதாது — ஆனால் அந்தத் தொகுதியை ஏற்றும் எந்தவொரு சாதாரணப் பயன்பாடும் அதன் உள்ளடக்கத்தை அடையும். இந்த கவர்ச்சிப் பெயர்கள் எத்தேரியம் (Ethereum), சோலானா (Solana), ஆர்பிட்ரம் (Arbitrum), லேயர்-2 (Layer-2) மற்றும் பொதுவான வாலட்/குறியாக்கக் கருவிகளில் உருவாக்கும் டெவலப்பர்களை இலக்காகக் கொண்டுள்ளன — இவர்கள்தான் இரண்டாம் கட்டம் தேடும் சொத்துக்களைத் துல்லியமாகக் கொண்டிருக்க அதிக வாய்ப்புள்ளவர்கள். வாலட் சாவிகள், விதை சொற்றொடர்கள், கீஸ்டோர்கள், SSH சாவிகள் அல்லது பிறவற்றைக் கொண்டிருக்கும் ஒரு கணினியில் இந்தத் தொகுதிகளில் ஒன்றை இயக்கிய எவரும். .env இரகசியங்கள் அந்தச் சான்றுகளைப் பாதிக்கப்பட்டதாகக் கருதி, அவற்றை மாற்ற வேண்டும்.
உள்வாங்கிக்கொள்ள வேண்டிய இரண்டு வடிவங்கள். முதலாவதாக, பேலோடை ஒரு நிலைப்பாடாகக் கருதுங்கள்: இரண்டாம் கட்டத்தை, பொருத்தமான பெயரிடப்பட்ட தரவுக் கோப்பிற்குள் பேஸ்64 ஆக அனுப்புதல் (test/fixtures/keypairs.datஇது, தொகுப்பின் புலப்படும் மூலத்தைத் தூய்மையாகக் காட்டுகிறது மற்றும் தீங்கிழைக்கும் உள்ளடக்கத்தை, மதிப்பாய்வுக் கருவிகளும் மனிதர்களின் மேலோட்டமான பார்வைகளும் பெரும்பாலும் செயலற்ற தரவாகக் கருதும் ஒரு கோப்பிற்குள் தள்ளுகிறது. இரண்டாவதாக, பல்வேறு இயங்குதளங்களில் நிலைத்தன்மையுடன் இறக்குமதி நேரத்தில் தாமதப்படுத்தப்பட்ட செயலாக்கம்இன்ஸ்டால் ஹூக்கிலிருந்து தூண்டுதலை அகற்றி, ஒரு டைமரைச் சேர்த்து, பின்னர் அதை க்ரான், திட்டமிடப்பட்ட பணிகள் மற்றும் லான்ச்டி ஆகியவற்றில் நிலைநிறுத்துவது என்பது, தானியங்கு ரெஜிஸ்ட்ரி ஸ்கேனிங் மிகவும் உன்னிப்பாகக் கண்காணிக்கும் அதிக இரைச்சல் மிகுந்த இன்ஸ்டால்-ஸ்கிரிப்ட் நுட்பங்களிலிருந்து திட்டமிட்டு விலகிச் செல்லும் ஒரு நடவடிக்கையாகும்.
பாதுகாப்பாளர்கள் மற்றும் பராமரிப்பாளர்களுக்கான வழிகாட்டுதல்:
- இணைக்கப்பட்ட குறியீட்டைப் பிறகு கையாளவும் தொகுதி.ஏற்றுமதிகள் மதிப்பாய்வு முன்னுரிமையாக — டிராப்பர் லாஜிக் பெரும்பாலும் "உண்மையான" மாட்யூல் மேற்பரப்பிற்குக் கீழே மறைந்திருக்கிறது.
- தரவுக் கோப்புகள் செயலற்றவை எனக் கருத வேண்டாம். கீழ் உள்ள ஒரு பேஸ்64 பிளாப் சோதனை/பொருத்தங்கள்/ இயக்க நேரத்தில் படிக்கப்பட்டு, குறியீடு நீக்கப்படும் கோப்பு இயக்கக்கூடிய கோப்புடன் இணைந்ததாகும்; ஒரு ஃபிக்சர் கோப்பிற்கு ஊட்டமளிக்கும் கோப்புகளின் இயக்க நேர வாசிப்புகளைக் கொடியிடவும். விழா/பரிணாமம்/எழுது-பின்-ஸ்பான் சங்கிலி.
- டிராப் பாதையைத் தேடுங்கள் ~/.cache-db/.node-sync/ மற்றும் நிலைத்தன்மை அலகுகளுக்கு WinNodeSync (திட்டமிடப்பட்ட பணி) மற்றும் com.apple.syncd இந்தப் பெயர்களைப் பெற்ற டெவலப்பர் கணினிகளில் (launchd) தொடங்கப்பட்டது.
- cron entries, scheduled tasks, அல்லது launchd jobs ஆகியவற்றை உருவாக்கும் Node செயல்முறைகள் குறித்த எச்சரிக்கை — முறையான நூலகங்கள் இறக்குமதியின்போது இதை அரிதாகவே செய்கின்றன.
- லாக்ஃபைல்கள் மற்றும் பின் செய்யப்பட்ட பதிப்புகளுக்கு முன்னுரிமை கொடுங்கள், மேலும் ஏதேனும் புதிய சிறிய “பயன்பாட்டு” சார்புநிலையின் வேறுபாட்டை மதிப்பாய்வு செய்யுங்கள், குறிப்பாக சார்பற்ற தொகுப்புகள் வெளியிடப்பட்டன இணைக்கப்படாத களஞ்சியத்துடன் கூடிய, சரிபார்க்கப்படாத கணக்குகளால்.
ரெஜிஸ்ட்ரியைப் பாதுகாப்பவர்களுக்கு இதிலிருந்து கிடைக்கும் முக்கியப் பாடம் என்னவென்றால், இன்ஸ்டால்-ஹூக் கண்காணிப்பு அவசியமானது, ஆனால் அது மட்டுமே போதுமானதல்ல: ஒரு தரவுக் கோப்பிற்குள் நிலைநிறுத்தப்பட்ட, இறக்குமதி நேரத்தில் டைமரால் தாமதப்படுத்தப்படும் ஒரு டிராப்பர், நிறுவல் நேரத்தில் மட்டுமே செய்யப்படும் சோதனையில் தேர்ச்சி பெற்றுவிடும்; மேலும், கண்டறிவதற்கு எஞ்சியிருக்கும் சமிக்ஞைகளில், நிலைத்தன்மைப் படிநிலையே பெரும்பாலும் மிகவும் தெளிவான ஒன்றாக உள்ளது.



