Microsoft Menemukan Paket npm jahat yang Menargetkan Dompet Kripto

• Microsoft menandai dua paket npm jahat yang menyalahgunakan API Hugging Face.
• Pakej-pakej tersebut menghantar RAT untuk mencuri data tekanan tombol, tangkapan skrin, dan data dompet.
• Insiden ini menonjolkan risiko rantaian bekalan npm yang berterusan yang menargetkan pengguna kripto.

Pada 3 Jun 2026, Kecerdasan Ancaman Microsoft melaporkan bahawa dua paket npm yang telah disusupi sedang menghantar remote access trojan (RAT) untuk mencuri tekanan key, tangkapan skrin, dan kredensial dompet kripto sambil menyalahgunakan repositori Hugging Face (repos) untuk eksfiltrasi data.

Microsoft Threat Intelligence telah menyedari dua paket npm jahat, [email protected] dan [email protected], yang telah disusupi atau diterbitkan dengan niat jahat. Paket-paket ini menyebarkan RAT yang boleh menangkap tekanan key, mengambil tangkapan skrin, dan mencuri kredensial dompet mata wang kripto.

Pakej-pakej tersebut menyalahgunakan repositori Hugging Face sebagai infrastruktur eksfiltrasi, mencampurkan trafik jahat dengan beban kerja pembelajaran mesin sah untuk mengelakkan pengesanan. Pakej-pakej tersebut diterbitkan oleh pengguna npm hexalpha10 (penulis: toskypi).

Apabila pembangun atau saluran pembinaan memasang pakej npm yang telah dirasuk, pakej-pakej tersebut akan menghantar RAT berfungsi penuh secara senyap. RAT direka untuk berjalan di latar belakang dan secara aktif mencuri maklumat sensitif. Ia mencapai ini dengan memantau aktiviti pengguna pada sistem yang terjejas, menangkap input yang sering termasuk kata laluan dompet, frasa benih, atau kunci peribadi, serta mengekstrak kredensial yang disimpan daripada aplikasi dompet kripto dan ekstensi pengembara yang popular.

Untuk mengekalkan akses jangka panjang, malware menubuhkan kekalan segera selepas pemasangan menggunakan kaedah khas platform:

• Pada Windows: Ia mencipta kunci Run di HKCU\Software\Microsoft\Windows\CurrentVersion\Run\MicrosoftSystem64 dan menetapkan tugas terjadual bernama MicrosoftSystem64.
• Pada Linux: Ia memasang perkhidmatan systemd bernama MicrosoftSystem64.service.

Payload dijatuhkan ke dalam direktori khas (MicrosoftSystem64/payload.js), membolehkan RAT beroperasi secara berasingan daripada pakej npm asal. RAT menggunakan dua pelayan command-and-control (C2), 195.201.194.107:8010 (WebSocket) dan c2-toskypi.onrender.com (HTTP), serta dengan bijak mengeksfiltrasi data curian dengan menyalahgunakan repositori Hugging Face yang sah sebagai endpoint eksfiltrasi data (huggingface.co/api).

Penemuan paket npm jahat menandakan pengingat lagi yang jelas tentang seberapa pantas serangan rantai bekalan perisian sedang berkembang, terutamanya yang memanfaatkan infrastruktur AI tepercaya seperti Hugging Face untuk operasi senyap.

Kesan segera adalah jelas kerana pembangun dan organisasi yang bergantung pada kebergantungan npm kini menghadapi peningkatan risiko pencurian kredensial dan kompromi jangka panjang, terutamanya dalam persekitaran yang menangani mata wang kripto atau token pembangun sensitif. Alat keselamatan standard yang memasukkan lalu lintas Hugging Face ke dalam senarai putih sebagai “aktiviti ML yang tidak berbahaya” tidak lagi boleh dipercayai tanpa konteks tambahan.

Melihat ke depan, Microsoft Threat Intelligence mendesak para pembela untuk memperlakukan sebarang lalu lintas tak dijangka ke huggingface.co/api dari beban kerja bukan-ML sebagai indikasi kompromi. Kampanye ini menonjolkan malware yang semakin canggih dan berdayakan AI, serta mendorong peralihan kepada pengesanan berdasarkan perilaku, pemantauan berterusan terhadap API keluaran, pengawalan rantaian bekalan npm yang lebih kukuh, dan pengesahan zero-trust terhadap ketergantungan sumber terbuka.

Terkait:Kampanye Malware TrapDoor Menargetkan Ekosistem Pembangun Aptos, Solana, dan Sui