Binance Square
#npm

npm

閲覧回数 20,401
29人が討論中
雪奈的白子
·
--
翻訳参照
慢雾安全团队刚刚监测到一起严重的恶意npm供应链攻击活动,正在针对npm用户和DeFi开发者发起攻击⚠️ 根据慢雾MistEye的检测,这是一起协调性的攻击,攻击者通过创建虚假的交易机器人代码库和DeFi主题的npm包,投放JavaScript信息窃取工具,目前已经发现了30个恶意npm包,其中包括stake-math@3.5.4。 特别值得注意的是,其中一个代码库donoaccestag/forex-mt5-trading-bot就依赖了这个恶意包,并且这个代码库已经产生了约2300个高度同质的分叉,大概率是攻击者批量生成的,主要集中在poly-stocks账户下。 一旦你的设备中招,攻击者可以窃取: 🔴 加密钱包私钥、助记词 🔴 浏览器cookies和保存的密码 🔴 开发者凭证、SSH密钥 🔴 shell历史、API令牌 🔴 密码管理器数据等敏感信息 **开发者需要立即做这些防护:** 1️⃣ 移除所有受影响的npm包 2️⃣ 审计package.json和package-lock.json以及CI日志 3️⃣ 凡是运行过npm install的系统都视为可能被攻击 4️⃣ 及时更换暴露的钱包密钥、npm令牌、云凭证等敏感信息 5️⃣ 从干净的镜像重建开发环境 安全无小事,供应链攻击近年来越来越频繁,所有DeFi开发者都需要提高警惕! #npm #慢雾 #供应链安全
慢雾安全团队刚刚监测到一起严重的恶意npm供应链攻击活动,正在针对npm用户和DeFi开发者发起攻击⚠️

根据慢雾MistEye的检测,这是一起协调性的攻击,攻击者通过创建虚假的交易机器人代码库和DeFi主题的npm包,投放JavaScript信息窃取工具,目前已经发现了30个恶意npm包,其中包括stake-math@3.5.4。

特别值得注意的是,其中一个代码库donoaccestag/forex-mt5-trading-bot就依赖了这个恶意包,并且这个代码库已经产生了约2300个高度同质的分叉,大概率是攻击者批量生成的,主要集中在poly-stocks账户下。

一旦你的设备中招,攻击者可以窃取:
🔴 加密钱包私钥、助记词
🔴 浏览器cookies和保存的密码
🔴 开发者凭证、SSH密钥
🔴 shell历史、API令牌
🔴 密码管理器数据等敏感信息

**开发者需要立即做这些防护:**
1️⃣ 移除所有受影响的npm包
2️⃣ 审计package.json和package-lock.json以及CI日志
3️⃣ 凡是运行过npm install的系统都视为可能被攻击
4️⃣ 及时更换暴露的钱包密钥、npm令牌、云凭证等敏感信息
5️⃣ 从干净的镜像重建开发环境

安全无小事,供应链攻击近年来越来越频繁,所有DeFi开发者都需要提高警惕!

#npm #慢雾 #供应链安全
翻訳参照
慢雾安全团队刚刚发出警报,检测到一起针对 npm 用户和 DeFi 开发者的协调性恶意供应链攻击⚠️ 根据慢雾 MistEye 监测,攻击者通过虚假交易机器人代码库和 DeFi 主题的 npm 包,投放 JavaScript 信息窃取工具,目前已发现涉及 30 个恶意 npm 包,其中 stake-math@3.5.4 已经出现在公开代码库的锁定依赖项中。 更值得警惕的是,相关异常代码库已经产生了约 2300 个高度同质的分叉,大概率是攻击者批量生成,主要集中在 poly-stocks 账户下。 一旦中招,攻击者可以窃取你的: 🔴 加密钱包私钥、助记词 🔴 浏览器 cookies、保存的密码和浏览历史 🔴 开发者凭证、shell 历史、密码管理器数据 🔴 源代码中的 API 令牌等敏感信息 建议所有开发者立即采取行动: 1️⃣ 移除受影响的 npm 包 2️⃣ 审计 package.json / package-lock.json 和 CI 日志 3️⃣ 检查曾运行 npm install 的系统,及时更换暴露的密钥和凭证 4️⃣ 从干净镜像重建受影响环境 供应链攻击早已不是新鲜事,但针对加密开发者的定向攻击愈发频繁,大家一定要提高安全意识,及时检查依赖项❗️ #npm #供应链安全 #DeFi安全
慢雾安全团队刚刚发出警报,检测到一起针对 npm 用户和 DeFi 开发者的协调性恶意供应链攻击⚠️

根据慢雾 MistEye 监测,攻击者通过虚假交易机器人代码库和 DeFi 主题的 npm 包,投放 JavaScript 信息窃取工具,目前已发现涉及 30 个恶意 npm 包,其中 stake-math@3.5.4 已经出现在公开代码库的锁定依赖项中。

更值得警惕的是,相关异常代码库已经产生了约 2300 个高度同质的分叉,大概率是攻击者批量生成,主要集中在 poly-stocks 账户下。

一旦中招,攻击者可以窃取你的:
🔴 加密钱包私钥、助记词
🔴 浏览器 cookies、保存的密码和浏览历史
🔴 开发者凭证、shell 历史、密码管理器数据
🔴 源代码中的 API 令牌等敏感信息

建议所有开发者立即采取行动:
1️⃣ 移除受影响的 npm 包
2️⃣ 审计 package.json / package-lock.json 和 CI 日志
3️⃣ 检查曾运行 npm install 的系统,及时更换暴露的密钥和凭证
4️⃣ 从干净镜像重建受影响环境

供应链攻击早已不是新鲜事,但针对加密开发者的定向攻击愈发频繁,大家一定要提高安全意识,及时检查依赖项❗️

#npm #供应链安全 #DeFi安全
翻訳参照
🚨 安全警报:30个恶意npm包伪装成交易机器人,定向窃取开发者密钥与助记词! #npm #DeFi
🚨 安全警报:30个恶意npm包伪装成交易机器人,定向窃取开发者密钥与助记词! #npm #DeFi
🚨 セキュリティアラート:ハッカーがインジェクティブのnpmパッケージにバックドアを仕掛け、ウォレットキーを盗もうとしました。 現在、サプライチェーン攻撃が暗号資産(クリプト)開発者スタックを直接狙っています。セキュリティ企業Socketによると、インジェクティブのウォレットのワークフローに紐づいたnpmパッケージに悪意あるコードが注入されたとのことです。これは、開発者や開発したアプリから秘密鍵や認証情報を静かに抜き取るために設計されており、ユーザーがログインする瞬間にキーを流出させる可能性があります。 重要な理由: • npmパッケージは、ほとんどのWeb3フロントエンドやツールの中核にある • 1つの侵害された依存関係で、数え切れないユーザーのウォレットが流出し得る • 今回の事案は、DeFiやオンチェーントレーディングで人気のCosmosベースL1であるインジェクティブに影響 Socketの研究者は、特にインジェクティブのウォレット接続を扱うアプリではリスクが深刻だと警告しました。汚染されたパッケージが、ユーザーがサインインしたタイミングでキーを外部送信する可能性があるためです。 朗報:広範な採用の前に、そのパッケージは検知されました。しかしこれは、「暗号領域での“npm installだけで大丈夫”はもう安全ではない」という厳しい現実を突きつける注意喚起です。チームは依存関係を固定し(バージョン固定)、ロックファイルを監査し、不審なpost-installスクリプトを見つけるためのスキャナーツールを活用すべきです。 オンチェーン上で価値が増すほど、攻撃対象はコードそのものへと移っていきます。警戒を怠らないでください、開発者の皆さん。🔐 #Injective #CryptoSecurity #DeFi #Web3 #npm
🚨 セキュリティアラート:ハッカーがインジェクティブのnpmパッケージにバックドアを仕掛け、ウォレットキーを盗もうとしました。

現在、サプライチェーン攻撃が暗号資産(クリプト)開発者スタックを直接狙っています。セキュリティ企業Socketによると、インジェクティブのウォレットのワークフローに紐づいたnpmパッケージに悪意あるコードが注入されたとのことです。これは、開発者や開発したアプリから秘密鍵や認証情報を静かに抜き取るために設計されており、ユーザーがログインする瞬間にキーを流出させる可能性があります。

重要な理由:
• npmパッケージは、ほとんどのWeb3フロントエンドやツールの中核にある
• 1つの侵害された依存関係で、数え切れないユーザーのウォレットが流出し得る
• 今回の事案は、DeFiやオンチェーントレーディングで人気のCosmosベースL1であるインジェクティブに影響

Socketの研究者は、特にインジェクティブのウォレット接続を扱うアプリではリスクが深刻だと警告しました。汚染されたパッケージが、ユーザーがサインインしたタイミングでキーを外部送信する可能性があるためです。

朗報:広範な採用の前に、そのパッケージは検知されました。しかしこれは、「暗号領域での“npm installだけで大丈夫”はもう安全ではない」という厳しい現実を突きつける注意喚起です。チームは依存関係を固定し(バージョン固定)、ロックファイルを監査し、不審なpost-installスクリプトを見つけるためのスキャナーツールを活用すべきです。

オンチェーン上で価値が増すほど、攻撃対象はコードそのものへと移っていきます。警戒を怠らないでください、開発者の皆さん。🔐

#Injective #CryptoSecurity #DeFi #Web3 #npm
ログインして、さらにコンテンツを読む
厳選トピックで世界の暗号資産トレーダーの仲間入り
⚡️ 暗号資産に関する最新かつ有益な情報が見つかります。
💬 世界最大の暗号資産取引所から信頼されています。
👍 認証を受けたクリエイターから、有益なインサイトを得られます。
メール / 電話番号