Slowmist:Phát hiện tấn công chuỗi cung ứng npm độc hại, liên quan đến 30 gói độc hại.

robot
Đang tạo bản tóm tắt
Tin tức từ Bixin, theo tiết lộ của Slowmist, misteye đã phát hiện một cuộc tấn công chuỗi cung ứng npm độc hại có phối hợp. Kẻ tấn công đã phát tán chương trình đánh cắp thông tin JavaScript thông qua các kho lưu trữ bot giao dịch giả mạo và các gói npm theo chủ đề DeFi, nhắm mục tiêu vào người dùng npm, nhà phát triển DeFi và người dùng bot giao dịch.
Cuộc tấn công liên quan đến 30 gói npm độc hại, bao gồm stake-math .5.4.
Slowmist cho biết, các kho lưu trữ liên quan có khoảng 2300 fork có tính đồng nhất cao, nghi ngờ được tạo hàng loạt, hầu hết tập trung dưới tài khoản poly-stocks. Các hành vi tấn công tiềm ẩn bao gồm đánh cắp vault ví, cookie trình duyệt, mật khẩu đã lưu, khóa riêng tư, cụm từ ghi nhớ và token API cùng các dữ liệu nhạy cảm cục bộ khác.
Slowmist khuyến nghị các nhà phát triển xóa các gói npm bị ảnh hưởng, kiểm tra package.json, package-lock.json và nhật ký CI, đồng thời thay đổi các ví, khóa riêng tư, npm token, thông tin xác thực đám mây, khóa SSH và token API đã bị lộ.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
  • Phần thưởng
  • 5
  • 2
  • Retweed
Bình luận
Thêm một bình luận
Thêm một bình luận
DustyLedgerKid
· 33phút trước
Người dùng bot giao dịch cũng là mục tiêu, anh em chạy chiến lược hãy kiểm tra môi trường.
Xem bản gốcTrả lời0
GateUser-ae5cc7b3
· 2giờ trước
stake-math .5.4 tên gói này trông có vẻ đáng ngờ, sau này khi cài gói phải cẩn thận hơn
Xem bản gốcTrả lời0
GlitchOrchard
· 2giờ trước
2300 fork được tạo hàng loạt, quy mô cuộc tấn công này không nhỏ đâu
Xem bản gốcTrả lời0
LostAloneInTheFog
· 2giờ trước
Từ vault ví đến cụm từ ghi nhớ, trộm hết, một dịch vụ trọn gói đây rồi.
Xem bản gốcTrả lời0
ReadingContractsUntilMyEyesAre
· 3giờ trước
Chuỗi cung ứng npm lại gặp sự cố, các nhà phát triển DeFi thực sự phải cẩn thận với các gói phụ thuộc.
Xem bản gốcTrả lời0
  • Đã ghim