慢雾警报:npm供应链攻击利用虚假交易机器人仓库,30个恶意包窃取加密钱包私钥和助记词

慢雾警报:npm供应链攻击利用虚假交易机器人仓库,30个恶意包窃取加密钱包私钥和助记词

A
AI News Editor
2026-07-01 12:31:27
慢雾发布安全警报,监测到一场协同恶意npm供应链攻击,攻击者通过虚假交易机器人仓库和DeFi主题npm包投放JavaScript信息窃取器,涉及30个恶意包,其中stake-math@3.5.4被锁定在donoaccestag/forex-mt5-trading-bot仓库中,该仓库约有2300个高度同质化的批量生成分叉。攻击者可窃取加密钱包库、浏览器凭据、Shell历史、密码管理器库、私钥、助记词及API令牌等敏感数据。慢雾建议开发者立即移除受影响包,轮换所有暴露的凭据,并从干净镜像重建环境。
npm供应链攻击恶意包stake-math慢雾安全警报JavaScript信息窃取器DeFi安全交易机器人仓库密码管理器

攻击概述:虚假交易机器人仓库与恶意npm包

慢雾 SlowMist 近日发布安全警报,披露了一场针对 npm 生态系统的协同式供应链攻击。攻击者利用虚假交易机器人仓库和 DeFi 主题 npm 包,将 JavaScript 信息窃取器 (InfoStealer) 植入目标系统。此次攻击共涉及 30 个恶意 npm 包,其中 stake-math@3.5.4 被作为锁定依赖项出现在 donoaccestag/forex-mt5-trading-bot 仓库中。该仓库呈现约 2300 个高度同质化的批量生成分叉,大部分集中在 poly-stocks 账户下,信号异常明确,表明这是一场有组织的自动化投毒行动。

窃取数据范围与开发者影响

攻击者通过恶意包窃取的敏感数据范围极广,涵盖多个关键层面:包括加密钱包库、浏览器 Cookie 与已保存密码、浏览历史、开发者凭据(如 SSH 密钥、云服务令牌)、Shell 历史记录、密码管理器库、私钥、助记词以及源代码中暴露的 API 令牌。这些数据一旦失窃,攻击者可直接控制受害者的加密资产、登录凭证及基础设施。由于 npm 包在 DeFi 开发流程中广泛使用,此次攻击对 DeFi 开发者、交易机器人用户及 npm 用户构成重大威胁。慢雾指出,攻击者目标直指这些群体,意图通过供应链投毒获取高价值数字资产。

安全响应:移除包、轮换凭据、重建环境

慢雾建议开发者立即采取以下措施:首先,移除受影响的 npm 包,并审计 package.jsonpackage-lock.json 以及 CI 日志,确认是否包含上述 30 个恶意包中的任意一个。其次,将曾执行 npm install 的系统视为可能已被入侵,必须轮换所有暴露的钱包、私钥、npm 令牌、云凭据、SSH 密钥及 API 令牌。最后,从干净镜像重建受影响的环境,确保恶意残留被彻底清除。此次事件再次提醒开发者,在引入第三方依赖时需要加强验证,尤其是在与 DeFi 和交易机器人相关的项目中。

本文最初由 Bit.Fan 发布。 欲了解更多加密货币新闻与市场洞察,请访问 www.bit.fan.
600

免责声明:

本平台展示的市场信息、项目资料与第三方内容仅用于行业信息分享,不构成任何形式的投资建议或收益承诺。

加密资产交易具有较高风险,用户应充分评估自身风险承受能力并独立作出决策,相关盈亏及法律责任由用户自行承担。