npm 用户与 DeFi 开发者警惕:慢雾安全平台实时捕捉恶意供应链攻击预警

慢雾科技(SlowMist)旗下 MistEye 监测到一起针对 npm 生态系统的协调性供应链攻击。攻击者通过发布虚假的交易机器人代码库以及 DeFi 主题的 npm 包,向 DeFi 开发者、交易机器人用户及广大 npm 用户投放 JavaScript 信息窃取工具。

此次攻击共涉及 30 个恶意 npm 包,其中包含 `stake-math@3.5.4`。该包被发现作为锁定依赖项出现在 `donoaccestag/forex-mt5-trading-bot` 代码库中。监测发现该代码库存在明显异常:其依赖项中包含已被安全报告的恶意包,且在 `poly-stocks` 账户下存在约 2300 个高度同质化的分叉,疑似由自动化工具批量生成。

该恶意软件旨在窃取本地敏感数据,包括加密钱包、浏览器 Cookies、保存的密码、浏览历史、开发者凭证、Shell 历史记录、密码管理器保险库、私钥、助记词以及源代码中的 API 令牌等。

针对此次威胁,慢雾建议开发者立即采取以下防护措施:
1. 迅速移除所有受影响的 npm 包,并审计 `package.json`、`package-lock.json` 及 CI 日志,排查上述 30 个恶意包。
2. 将所有运行过 `npm install` 的相关系统视为已被入侵。
3. 及时更换可能泄露的钱包私钥、npm 令牌、云服务凭证、SSH 密钥及 API 令牌。
4. 从干净的镜像重新构建受影响的开发与运行环境。

Facebook
Twitter
LinkedIn
Telegram

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注