Home
Mga Balita
Mga Detalye

Ang TrapDoor Crypto Theft Campaign ay nagtatarget sa npm, PyPI, at Crates.io gamit ang 34+ na masasamang package

iconTechFlow
I-share
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
SOL
$85.92-1.03%
AI summary iconSummary

expand icon
Isang bagong kampanya ng pagkakawala ng crypto na TrapDoor ay natuklasan, na nagtatarget sa npm, PyPI, at Crates.io gamit ang higit sa 34 na masasamang package. Ang mga attacker ay naghahakot ng SSH keys, wallet data, at AWS credentials mula sa mga developer sa larangan ng crypto, DeFi, at AI + crypto news. Ang mga paraan ay kasama ang postinstall hooks, remote JavaScript execution, at local key theft. Ang Socket Security ay nag-flag sa lahat ng package at inireport ito sa mga registry. Ang data ng inflation at developer activity ay patuloy na pinagmamasdan habang lumalaganap ang banta.

Ayon sa pag-aaral ng security company na Socket Security, ang isang cryptocurrency-stealing supply chain attack na tinatawag na TrapDoor, na sumasaklaw sa npm, PyPI, at Crates.io, ay naglalaman ng higit sa 34 na masasamang package at 384 na kaugnay na bersyon at artifact, na nagtatakda sa mga developer ng cryptocurrency, DeFi, Solana, Sui, Move, at AI. Ang mga sample ng pag-atake ay maaaring magtala ng SSH keys, wallet data, AWS credentials, GitHub tokens, browser data, environment variables, at iba pang sensitibong impormasyon. Ang npm packages ay gumagamit ng postinstall hook upang i-execute ang shared payload na trap-core.js, ang PyPI packages ay i-execute ang remote JavaScript kapag inimport, habang ang Crates.io packages ay gumagamit ng build.rs upang makuha ang local keystore. Ang Socket ay nakalabel na lahat ng kaugnay na package bilang masasama at nag-report sa mga kaugnay na software package registries.

Source:Ipakita ang original
Disclaimer: Ang information sa page na ito ay maaaring nakuha mula sa mga third party at hindi necessary na nagre-reflect sa mga pananaw o opinyon ng KuCoin. Ibinigay ang content na ito para sa mga pangkalahatang informational purpose lang, nang walang anumang representation o warranty ng anumang uri, at hindi rin ito dapat ipakahulugan bilang financial o investment advice. Hindi mananagot ang KuCoin para sa anumang error o omission, o para sa anumang outcome na magreresulta mula sa paggamit ng information na ito. Maaaring maging risky ang mga investment sa mga digital asset. Pakisuri nang maigi ang mga risk ng isang produkto at ang risk tolerance mo batay sa iyong sariling kalagayang pinansyal. Para sa higit pang information, mag-refer sa aming Terms ng Paggamit at Disclosure ng Risk.