Home
Mga Balita
Mga Detalye

Natuklasan ng Microsoft ang mga masasamang npm packages na nagtutarget sa mga crypto wallet

iconCoinEdition
I-share
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconSummary

expand icon
Ipinakita ng Microsoft Threat Intelligence noong Hunyo 3, 2026, na natagpuan ang dalawang masasamang npm package na nagde-deploy ng remote access trojan (RAT) na nagtatarget sa on-chain data. Ang mga package, [email protected] at [email protected], ay gumamit ng Hugging Face repositories para sa data exfiltration. Ipinublished ng npm user hexalpha10, ang RAT ay nagsisipagkuha ng mga keystrokes, screenshots, at on-chain data. Ito ay nagtataguyod ng persistence sa Windows at Linux systems at nagsasagawa ng komunikasyon sa C2 servers. Binaos ng Microsoft ang mga user na suriin ang traffic sa huggingface.co/api para sa mga tanda ng kompromiso.
  • Ipinagbawal ng Microsoft ang dalawang mapanganib na npm packages na naglalamon ng Hugging Face APIs.
  • Ang mga pakete ay nag-deploy ng RAT upang makuha ang mga keystroke, screenshot, at wallet data.
  • Ang insidente ay nagpapakita ng patuloy na mga panganib sa supply chain ng npm na nagtatala sa mga gumagamit ng cryptocurrency.

Noong Hunyo 3, 2026, ireport ng Microsoft Threat Intelligence na dalawang napapahamak na npm packages ay nagde-deploy ng remote access trojan (RAT) upang makuha ang mga keystroke, screenshot, at credentials ng crypto wallet habang ginagamit ang mga Hugging Face repositories (repos) para sa data exfiltration.

Ipinagbabala ng Microsoft ang dalawang mapanirang npm packages

Ang Microsoft Threat Intelligence ay nakatukoy ng dalawang masasamang npm package, [email protected] at [email protected], na na-compromise o ipinakalabas nang may masamang intensyon. Ang mga package na ito ay nagde-deploy ng RAT na makakakuha ng mga keystroke, mag-aakda ng screenshots, at maaaring manlinlang ng mga credentials ng cryptocurrency wallet.

Ang mga pakete ay naglalabas ng Hugging Face repositories bilang imprastruktura para sa pagbabalik ng datos, pinagsasama ang masasamang trapiko sa mga legal na workload ng machine learning upang maiwasan ang pagkakatuklas. Ang mga pakete ay inilabas ng npm user na hexalpha10 (may-akda: toskypi).

Paano ng RAT ang pagkukunwari ng mga credential ng wallet

Kapag nag-install ang mga developer o mga build pipeline sa mga compromised npm packages, ang mga package ay nagde-deploy nang tahimik ng isang buong tampok na RAT. Ang RAT ay disenyo upang mag-run sa background at aktibong manakwil ng sensitibong impormasyon. Nakakamit nito ito sa pamamagitan ng pagmamasid sa aktibidad ng user sa mga nasirang sistema, pagkuha ng input na madalas ay naglalaman ng password ng wallet, seed phrase, o private keys, at pag-extract ng mga naka-store na credentials mula sa mga sikat na crypto wallet applications at browser extensions.

Upang mapanatili ang pangmatagalang pag-access, agad na nagtatatag ng persistence ang malware pagkatapos ng pag-install gamit ang mga platform-specific na paraan:

  • Sa Windows: Ikinakabit nito ang Run key sa HKCU\Software\Microsoft\Windows\CurrentVersion\Run\MicrosoftSystem64 at itinatayo ang isang scheduled task na pangalan ay MicrosoftSystem64.
  • Sa Linux: Ii-install nito ang isang systemd service na tinatawag na MicrosoftSystem64.service.

Dinala ang payload sa isang espesyal na direktoryo (MicrosoftSystem64/payload.js), na nagpapahintulot sa RAT na magtrabaho nang hiwalay mula sa orihinal na npm package. Gumagamit ang RAT ng dalawang command-and-control (C2) server, 195.201.194.107:8010 (WebSocket) at c2-toskypi.onrender.com (HTTP), at matalino ring iniiwan ang nakuha na data sa pamamagitan ng pag-abuso sa mga legal na Hugging Face repository bilang kanyang endpoint para sa pag-exfiltrate ng data (huggingface.co/api).

Mga Banta sa Supply Chain na Pinapagana ng AI na Nagpapalalim

Ang pagkakita ng mga masasamang npm packages ay isang malinaw na pagpapalit na kung gaano kalakas ang pag-unlad ng mga pag-atake sa supply chain ng software, lalo na ang mga nagpapalakas ng pinagkakatiwalaang AI infrastructure tulad ng Hugging Face para sa mga lihim na operasyon.

Ang agad na epekto ay malinaw dahil ang mga developer at mga organisasyon na nakasalalay sa npm dependencies ay ngayon ay nakakaranas ng mas mataas na panganib ng pagkakawala ng credentials at pangmatagalang pagsabog, lalo na sa mga kapaligiran na nagdadala ng cryptocurrency o sensitibong developer tokens. Ang mga karaniwang kasangkapan sa seguridad na nagwhitelist sa trapiko ng Hugging Face bilang “mabuting ML activity” ay hindi na maaaring tiyakin nang walang karagdagang konteksto.

Tingnan ang hinaharap, Microsoft Threat Intelligence ay nagtutuloy sa mga tagapagtaguyod na tratuhin ang anumang hindi inaasahang trapiko patungo sa huggingface.co/api mula sa mga non-ML workload bilang posibleng tanda ng kompromiso. Ang kampanyang ito ay nagpapakita ng lalong mas kumplikadong AI-enabled malware at nagdudulot ng paglipat patungo sa pagdetekta batay sa pag-uugali, patuloy na pagmonito sa outbound API, mas lalong pinagpapalakas na kontrol sa npm supply chain, at zero-trust na pagpapatotoo sa mga open-source dependencies.

Kaugnay:TrapDoor Malware Campaign ay Naglalayon sa Aptos, Solana, at Sui Developer Ecosystems

Pahiwatig: Ang impormasyon na ipinapakita sa artikulong ito ay para sa impormasyon at edukasyon lamang. Ang artikulo ay hindi nagtataglay ng abiso sa pananalapi o anumang uri ng abiso. Ang Coin Edition ay hindi responsable sa anumang pagkawala na naganap bilang resulta ng paggamit ng nilalaman, produkto, o serbisyo na nabanggit. Inirerekomenda sa mga mambabasa na magpakatotoo bago gawin ang anumang aksyon na may kinalaman sa kumpanya.

Source:Ipakita ang original
Disclaimer: Ang information sa page na ito ay maaaring nakuha mula sa mga third party at hindi necessary na nagre-reflect sa mga pananaw o opinyon ng KuCoin. Ibinigay ang content na ito para sa mga pangkalahatang informational purpose lang, nang walang anumang representation o warranty ng anumang uri, at hindi rin ito dapat ipakahulugan bilang financial o investment advice. Hindi mananagot ang KuCoin para sa anumang error o omission, o para sa anumang outcome na magreresulta mula sa paggamit ng information na ito. Maaaring maging risky ang mga investment sa mga digital asset. Pakisuri nang maigi ang mga risk ng isang produkto at ang risk tolerance mo batay sa iyong sariling kalagayang pinansyal. Para sa higit pang information, mag-refer sa aming Terms ng Paggamit at Disclosure ng Risk.