近期监测到一系列针对以太坊与Solana开发者的恶意npm软件包,其核心目标为非法获取用户私钥并实时上传至攻击者控制的服务器。这些工具采用典型的拼写模仿策略(typosquatting),以接近官方库名称的形式诱骗开发者下载安装。
调查发现,五个恶意包均来自同一注册账户,且部署于相近时间窗口内。攻击范围涵盖两大主流公链生态,具备成熟的命令与控制架构。其中一例在发布后五分钟即被下架,但其隐藏式代码仍成功完成数据外泄。
攻击手段聚焦于开发者调用密钥处理函数的瞬间。当特定函数被触发时,恶意包会在返回正常结果前,将私钥内容推送至攻击者配置的Telegram机器人,使受害者难以察觉异常行为。
四款软件包专攻Solana生态,主要拦截Base58解码流程;另一款则针对以太坊钱包初始化逻辑。所有组件均依赖Node.js 18以上版本的全局访问能力,在旧环境运行时将静默失效,避免暴露痕迹。通信端点固定于同一Telegram接收节点,机器人凭证以硬编码形式嵌入各包中,无需外部托管即可维持联络。
实施方式呈现多样化特征:部分包直接修改函数逻辑并在返回前注入窃密代码;另有使用混淆技术掩盖恶意行为;甚至存在不携带直接恶意代码的“干净”包,通过依赖链间接传播攻击载荷。以太坊相关包更进一步,在编译产物中插入单行篡改代码,明确指向人为操控。
安全机构已向npm平台提交封禁请求。专家强调,当前已泄露的私钥存在极高被盗风险,相关资产须立即迁移至新生成的钱包。开发者应严格核验依赖包名称准确性,优先选用经官方认证或高声誉社区维护的库。
此次事件凸显黑客对开发者群体的持续围猎趋势。此前已有类似案例通过伪造安装程序入侵开发环境,反映出攻击者正不断演进手法,借由信任链漏洞获取敏感信息。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.
