安全警告:30個の悪意のあるnpmパッケージが取引ボットのリポジトリに偽装し、開発者のキーとリカバリーフレーズを狙っています。
慢雾 SlowMist は安全警報を発表し、協調的な悪意のある npm サプライチェーン攻撃を監視しました。攻撃者は偽の取引ボットリポジトリと DeFi テーマの npm パッケージを利用して JavaScript 情報窃取器を投下し、ターゲットは npm ユーザー、DeFi 開発者および取引ボットユーザーです。
今回の攻撃には 30 の悪意のある npm パッケージが関与しており、その中の stake-math@3.5.4 が donoaccestag/forex-mt5-trading-bot リポジトリにロック依存関係として現れています。このリポジトリは約 2300 の高度に同質化されたバルク生成フォークを呈示しており、大部分は poly-stocks アカウントに集中しています。信号は異常に明確です。攻撃者が窃取できる敏感データの範囲は非常に広く、暗号ウォレットライブラリ、ブラウザの Cookie と保存されたパスワード、ブラウジング履歴、開発者の資格情報、Shell の履歴、パスワードマネージャーライブラリ、秘密鍵、助記詞およびソースコードに露出した API トークンが含まれます。
慢雾は開発者に対し、影響を受けた npm パッケージを直ちに削除し、package.json と package-lock.json および CI ログに 30 の悪意のあるパッケージのいずれかが含まれていないか監査することを推奨します。また、npm install を実行したシステムは侵害されている可能性があると見なし、すべての露出したウォレット、秘密鍵、npm トークン、クラウド資格情報、SSH キーおよび API トークンをローテーションし、クリーンなイメージから影響を受けた環境を再構築することを推奨します。






