安全警報:30 個惡意 npm 包偽裝交易機器人倉庫,定向竊取開發者密鑰與助記詞
ChainCatcher 消息,慢霧 SlowMist 發布安全警報,監測到一場協同惡意 npm 供應鏈攻擊,攻擊者利用虛假交易機器人倉庫和 DeFi 主題 npm 包投放 JavaScript 信息竊取器,目標直指 npm 用戶、DeFi 開發者及交易機器人用戶。
此次攻擊涉及 30 個惡意 npm 包,其中 stake-math@3.5.4 作為鎖定依賴項出現在 donoaccestag/forex-mt5-trading-bot 倉庫中,該倉庫呈現約 2300 個高度同質化的批量生成分叉,大部分集中在 poly-stocks 賬戶下,信號異常明確。攻擊者可竊取的敏感數據範圍極廣,包括加密錢包庫、瀏覽器 Cookie 與已保存密碼、瀏覽歷史、開發者憑據、Shell 歷史記錄、密碼管理器庫、私鑰、助記詞及源代碼中暴露的 API 令牌。
慢霧建議開發者立即移除受影響的 npm 包,審計 package.json 與 package-lock.json 及 CI 日誌中是否包含 30 個惡意包中的任何一個;將曾執行 npm install 的系統視為可能已被入侵,輪換所有暴露的錢包、私鑰、npm 令牌、雲憑據、SSH 密鑰及 API 令牌,並從乾淨鏡像重建受影響環境。






