Accueil
Actualités
Détails

Campagne de vol cryptographique TrapDoor affecte plus de 34 paquets malveillants sur npm, PyPI et Crates.io

iconKuCoinFlash
Partager
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
SOL
$86,321,38 %
This is the logo of the coin.
SUI
$1,05591,31 %
This is the logo of the coin.
ETH
$2 124,921,41 %
AI summary iconRésumé

expand icon
Une campagne de vol cryptographique TrapDoor a été dévoilée, affectant plus de 34 paquets malveillants sur npm, PyPI et Crates.io. Socket Security a signalé l'attaque, qui cible les développeurs dans les domaines de l'IA et des actualités cryptographiques, du DeFi, de Solana et des écosystèmes Sui. Les attaquants volent les clés SSH, les données de wallet, les identifiants AWS, les jetons GitHub, les données de navigateur et les variables d'environnement. Socket a signalé les paquets malveillants et les a rapportés aux registres concernés. Les données sur l'inflation et la sécurité cryptographique restent des préoccupations majeures, car cette attaque met en lumière les vulnérabilités des outils pour développeurs.

Selon les nouvelles de ME, le 25 mai (UTC+8), la société de sécurité Socket Security a détecté une attaque de chaîne d'approvisionnement de type TrapDoor visant le vol de cryptomonnaies. Cette attaque implique plus de 34 paquets malveillants et 384 versions associées, ciblant les plateformes npm, PyPI et Crates.io, principalement les développeurs en cryptomonnaie, DeFi, Solana, Sui, Move et IA. Les méthodes d'attaque incluent le vol de clés SSH, de données de portefeuilles, de crédentials AWS, de jetons GitHub, de données de navigateur et de variables d'environnement. Concrètement, les paquets npm exécutent trap-core.js via un hook postinstall, les paquets PyPI exécutent du JavaScript distant à l'importation, et les paquets Crates.io utilisent build.rs pour voler les clés locales. Socket a signalé ces paquets malveillants aux registres de paquets concernés. (Source : MLion)

Source:Afficher l'original
Clause de non-responsabilité : les informations sur cette page peuvent avoir été obtenues auprès de tiers et ne reflètent pas nécessairement les points de vue ou opinions de KuCoin. Ce contenu est fourni à titre informatif uniquement, sans aucune représentation ou garantie d’aucune sorte, et ne doit pas être interprété comme un conseil en investissement. KuCoin ne sera pas responsable des erreurs ou omissions, ni des résultats résultant de l’utilisation de ces informations. Les investissements dans les actifs numériques peuvent être risqués. Veuillez évaluer soigneusement les risques d’un produit et votre tolérance au risque en fonction de votre propre situation financière. Pour plus d’informations, veuillez consulter nos conditions d’utilisation et divulgation des risques.