npm 用户与 DeFi 开发者警惕:慢雾安全平台实时捕捉恶意供应链攻击预警
SlowMist 监测到一起协调性的恶意 npm 供应链攻击,攻击者通过虚假的交易机器人代码仓库和 DeFi 主题的 npm 包向 npm 用户、DeFi 开发者和交易机器人用户投放 JavaScript 信息窃取工具。此次攻击涉及 30 个恶意包,其中包括 stake‑math@3.5.4,该包作为锁定依赖项出现在 donoaccestag/forex‑mt5‑trading‑bot 仓库中。该仓库存在明显异常信号:依赖于已报告的恶意包,包含约 2300 个高度同质、可能为批量生成的分叉,主要集中在 poly‑stocks 账户下。攻击者窃取的敏感数据包括加密钱包、浏览器 cookies、保存的密码、浏览历史、开发者凭证、shell 历史、密码管理器保管箱、私钥、助记词以及源代码中发现的 API 令牌。建议开发者立即移除受影响的 npm 包,审计 package.json/package-lock.json 和 CI 日志,将所有执行过 npm install 的系统视为潜在受感染终端,更换暴露的钱包、私钥、npm 令牌、云凭证、SSH 密钥及 API 令牌,并从干净的镜像重建受影响环境。