Slowmist:Виявлено зловмисну атаку на ланцюг постачання npm, що залучає 30 шкідливих пакетів.

robot
Генерація анотацій у процесі
Новини від Bitejie, за повідомленням Slowmist, misteye виявив скоординовану атаку на ланцюг постачання шкідливого npm, зловмисники через фейкові репозиторії торгових ботів та npm-пакети на тему DeFi поширювали JavaScript-викрадачі інформації, цілями є користувачі npm, DeFi-розробники та користувачі торгових ботів. Атака охоплює 30 шкідливих npm-пакетів, включаючи stake-math .5.4. Slowmist заявляє, що у відповідних репозиторіях існує близько 2300 високооднорідних форків, ймовірно створених масово, більшість зосереджена в обліковому записі poly-stocks, потенційні шкідливі дії включають крадіжку локальних конфіденційних даних, таких як vault гаманців, файли cookie браузера, збережені паролі, приватні ключі, мнемонічні фрази та API token. Slowmist рекомендує розробникам видалити уражені npm-пакети, перевірити package.json, package-lock.json та CI-логи, а також змінити скомпрометовані гаманці, приватні ключі, npm token, хмарні облікові дані, SSH-ключі та API token.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
  • Нагородити
  • 5
  • 2
  • Поділіться
Прокоментувати
Додати коментар
Додати коментар
DustyLedgerKid
· 1год тому
Користувачі торгових ботів також є ціллю, брати, які запускають стратегії, перевірте середовище.
Переглянути оригіналвідповісти на0
GateUser-ae5cc7b3
· 3год тому
stake-math .5.4 Ця назва пакета виглядає підозріло, надалі перед встановленням пакета потрібно бути більш уважним
Переглянути оригіналвідповісти на0
GlitchOrchard
· 3год тому
2300 форків згенеровано пакетно, масштаб атаки чималий.
Переглянути оригіналвідповісти на0
LostAloneInTheFog
· 4год тому
Від сховища гаманця до мнемонічних слів — все крадуть, повний пакет послуг, так би мовити.
Переглянути оригіналвідповісти на0
ReadingContractsUntilMyEyesAre
· 4год тому
Ланцюг постачання npm знову має проблеми, розробникам DeFi справді потрібно бути обережними з пакетами залежностей.
Переглянути оригіналвідповісти на0
  • Закріплено