慢雾警报:npm供应链攻击瞄准DeFi开发者,30个恶意包窃取私钥与助记词

慢雾警报:npm供应链攻击瞄准DeFi开发者,30个恶意包窃取私钥与助记词

N
News Editor
2026-07-01 10:31:33
慢雾SlowMist发布安全警报,发现一场协同恶意npm供应链攻击。攻击者通过虚假交易机器人仓库和DeFi主题npm包分发JavaScript信息窃取器,涉及30个恶意包,其中stake-math@3.5.4作为锁定依赖出现在约2300个高度同质化的GitHub分叉中。攻击可窃取加密钱包库、私钥、助记词、浏览器Cookie、开发者凭据等敏感数据。慢雾建议立即移除受影响包、轮换所有凭据并从干净镜像重建环境。
npm供应链攻击慢雾安全警报DeFi开发者信息窃取器恶意包私钥泄露交易机器人

攻击概述:虚假交易机器人仓库与恶意npm包

7月1日,区块链安全机构慢雾SlowMist发布安全警报,监测到一场协同恶意npm供应链攻击。攻击者利用虚假的交易机器人GitHub仓库和DeFi主题的npm包,向社区投放JavaScript信息窃取器。目标直指npm用户、DeFi开发者以及交易机器人用户。本次攻击共涉及30个恶意npm包,其中 stake-math@3.5.4 作为锁定依赖项出现在仓库 donoaccestag/forex-mt5-trading-bot 中。值得注意的是,该仓库呈现约2300个高度同质化的批量生成分叉,大部分集中在 poly-stocks 账户下,攻击信号异常明确。

窃取范围:从钱包密钥到开发者凭据

攻击者植入的窃取器具有广泛的数据收集能力。据慢雾分析,可窃取的敏感数据包括:加密钱包库、浏览器Cookie与已保存密码、浏览历史记录、开发者凭据、Shell历史记录、密码管理器库、私钥、助记词,以及源代码中暴露的API令牌。如此全面的窃取范围意味着一旦开发者安装了受影响的包,其几乎全部数字身份和资产都将面临泄露风险。

自查与响应:立即行动降低风险

针对此次攻击,慢雾建议开发者立即执行以下操作:

  • 移除所有受影响的npm包,并审计 package.jsonpackage-lock.json 以及CI日志中是否包含30个恶意包中的任何一个。
  • 将曾执行 npm install 的系统视为可能已被入侵。
  • 轮换所有可能暴露的钱包、私钥、npm令牌、云凭据、SSH密钥及API令牌。
  • 从干净镜像重建受影响的开发或生产环境。
鉴于npm生态在加密开发场景中的广泛使用,此类供应链攻击对DeFi项目构成严重威胁。开发者应提高警惕,审慎核查第三方依赖的来源,并定期进行安全审计。

本文最初由 Bit.Fan 发布。 欲了解更多加密货币新闻与市场洞察,请访问 www.bit.fan.
600

免责声明:

本平台展示的市场信息、项目资料与第三方内容仅用于行业信息分享,不构成任何形式的投资建议或收益承诺。

加密资产交易具有较高风险,用户应充分评估自身风险承受能力并独立作出决策,相关盈亏及法律责任由用户自行承担。