Halaman Utama
Berita
Butiran

Lebih daripada 34 paket jahat menargetkan pembangun kripto dan AI dalam serangan rantai bekalan

iconChaincatcher
Kongsi
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
SOL
$84.35-1.73%
This is the logo of the coin.
SUI
$1.0318-0.43%
AI summary iconRingkasan

expand icon
Serangan rantai bekalan telah ditemui di npm, PyPI, dan crates.io, dengan lebih daripada 34 pakej jahat yang menargetkan pembangun berita AI + kripto dan lain-lain di sektor kripto, DeFi, Solana, Sui/Move, dan AI. Pakej-pakej ini boleh mencuri dompet, kunci SSH, kredensial awan, token GitHub/AWS, data peramban, pemboleh ubah persekitaran, dan rahsia. Beberapa beban menggunakan .cursorrules, CLAUDE.md, cangkuk Git, cangkuk shell, cron, systemd, dan SSH untuk kekal. Pembangun sepatutnya menghapus pakej yang terjejas, mengasingkan sistem, mengekalkan log, memutar semula kredensial, membina semula persekitaran CI, dan mengkaji aktiviti GitHub, awan, SSH, dan dompet. Berita di rantai menekankan keperluan mendesak untuk mengamankan alur kerja pembangunan.

ChainCatcher melaporkan, menurut pengungkapan SlowMist, agensi keselamatan MistEye mengesan satu serangan rantai bekalan melintasi registri, di mana penyerang menghantar pakej jahat ke npm, PyPI, dan crates.io untuk menyerang pembangun di bidang kripto, DeFi, Solana, Sui/Move, dan AI. Aktiviti serangan ini mengandungi lebih 34 pakej jahat dan lebih 384 versi berkaitan. Penyerang mungkin mencuri dompet kripto, kunci SSH, kredensial awan, token GitHub/AWS, data peramban, pemboleh ubah persekitaran, dan maklumat rahsia pembangun. Sebahagian beban jahat juga cuba mencapai kekalahan melalui .cursorrules, CLAUDE.md, hook Git, hook shell, cron, systemd, dan SSH. Disarankan agar pembangun segera membuang pakej yang terjejas, mengasingkan sistem yang terjejas, menyimpan log, menukar kredensial yang terdedah, membina semula persekitaran CI dan mesin pembangun daripada imej bersih, serta mengkaji rekod aktiviti GitHub, perkhidmatan awan, SSH, dan dompet.

Sumber:Tunjukkan artikel asal
Penafian: Maklumat yang terdapat pada halaman ini mungkin telah diperoleh daripada pihak ketiga dan tidak semestinya menggambarkan pandangan atau pendapat KuCoin. Kandungan ini adalah disediakan bagi tujuan maklumat umum sahaja, tanpa sebarang perwakilan atau waranti dalam apa jua bentuk, dan juga tidak boleh ditafsirkan sebagai nasihat kewangan atau pelaburan. KuCoin tidak akan bertanggungjawab untuk sebarang kesilapan atau pengabaian, atau untuk sebarang akibat yang terhasil daripada penggunaan maklumat ini. Pelaburan dalam aset digital boleh membawa risiko. Sila menilai risiko produk dan toleransi risiko anda dengan teliti berdasarkan keadaan kewangan anda sendiri. Untuk maklumat lanjut, sila rujuk kepada Terma Penggunaan dan Pendedahan Risiko kami.