Alert bezpieczeństwa: Dwa złośliwe pakiety NPM atakujące portfele kryptowalutowe — Co musisz wiedzieć

Podsumowanie w 30 sekund
Inteligencja zagrożeń Microsoftu zidentyfikowała dwa #NPM安全  pakiety —  forge-jsx  i  forge-jsxy  — rozprzestrzeniające zaawansowane złośliwe oprogramowanie zdolne do opróżniania twoich portfeli kryptowalutowych, kradzenia twoich prywatnych kluczy i kompromitowania twoich rozszerzeń przeglądarki (MetaMask, Phantom, Rabby i inne). Jeśli jesteś deweloperem lub używasz narzędzi Node.js, przeczytaj to uważnie.
Jak to działa
Pakiety podszywają się pod oficjalny SDK Autodesk Forge, żeby wyglądać na legitne. Po zainstalowaniu przez  npm install , złośliwy agent wdraża się poza folderem  node_modules , co sprawia, że pozostaje aktywny nawet po  npm uninstall . Twoje skradzione dane są następnie wykradane na serwery kontrolowane przez atakującego.
Możliwości złośliwego oprogramowania (ewoluują w czasie rzeczywistym)
Złośliwy deweloper opublikował 88 wersji w 50 dni, wciąż ulepszając funkcjonalność:
 
Kradzież poświadczeń: keylogging, monitorowanie schowka, ekstrakcja plików .env, przechwytywanie historii powłoki
 
Zrzuty ekranu: okresowe zrzuty ekranu wysyłane do webhooków Discorda
 
Skanowanie portfela: automatyczne wykrywanie mnemonik BIP39, kluczy Solana i prywatnych kluczy secp256k1
 
Kompromitacja rozszerzenia przeglądarki: ekstrakcja baz danych LevelDB z 21 przeglądarek opartych na Chromium (MetaMask, Phantom, Rabby, itd.)
 
Zdalne aktualizacje: złośliwe oprogramowanie może otrzymywać nowe instrukcje bez ponownej instalacji
Co zrobić, jeśli zainstalowałeś jedną z tych paczek
Uważaj, że wszystkie twoje informacje są skompromitowane.
Najpierw natychmiast sprawdź, czy zainstalowałeś forge-jsx lub forge-jsxy. Następnie ręcznie usuń trwałego agenta znajdującego się w folderze .forge-jsxy pod ~/.local/share/cfgmgr/. Cofnij wszystkie tajne klucze obecne w swoich plikach .env i historii powłoki. Przenieś swoje środki do nowo wygenerowanych portfeli na czystej, bezpiecznej maszynie. Jeśli podejrzewasz głębokie naruszenie, całkowicie zainstaluj system ponownie.
Kto za tym stoi?
Badacze odkryli zaawansowaną infrastrukturę: serwer dowodzenia i kontroli na 204.10.194.247, frontowy domena taohunter.ai udająca startup AI oraz realistyczne tożsamości NPM (johnceballos0716, jacksonkaandorp2) zaprojektowane do budowania zaufania.
Ta kampania sygnalizuje ewolucję: atakujący teraz traktują złośliwe paczki jako długoterminowe projekty oprogramowania, iterując w oparciu o skradzione dane.
Najlepsze praktyki zabezpieczeń na Binance
Zrób: zweryfikuj pochodzenie każdej paczki NPM (pobrania, data utworzenia, repozytorium GitHub). Używaj portfeli sprzętowych (Ledger, Trezor) dla znaczących zasobów. Regularnie audytuj swoje zależności za pomocą npm audit. Oddziel swoje środowiska deweloperskie od osobistych portfeli.
Unikaj: instalowania paczek bez weryfikacji autentyczności. Przechowywania dużych kwot kryptowalut w rozszerzeniach przeglądarki. Ignorowania alertów bezpieczeństwa od swojego menedżera pakietów. Ponownego używania tych samych kluczy lub poświadczeń w różnych projektach.
💡 Wnioski z #Binancesecurity 
Ataki na łańcuch dostaw na oprogramowanie rosną w szybkim tempie. Czujność dewelopera to pierwsza linia obrony. Kiedy instalujesz zależność, zapraszasz kod do swojego środowiska. Zawsze weryfikuj, kto puka do twoich drzwi.
Źródła: Microsoft Threat Intelligence, analizy bezpieczeństwa społeczności.