Trang chủ
Tin tức
Chi tiết

Chiến dịch đánh cắp tiền điện tử TrapDoor nhắm vào npm, PyPI và Crates.io với hơn 34 gói độc hại

iconTechFlow
Chia sẻ
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
SOL
$86,311,19%
AI summary iconTóm tắt

expand icon
Một chiến dịch trộm tiền điện tử TrapDoor mới đã được phát hiện, nhắm vào npm, PyPI và Crates.io với hơn 34 gói độc hại. Các kẻ tấn công đang đánh cắp khóa SSH, dữ liệu ví và thông tin xác thực AWS từ các nhà phát triển trong lĩnh vực tiền điện tử, DeFi và tin tức AI + tiền điện tử. Các phương pháp bao gồm hook postinstall, thực thi JavaScript từ xa và đánh cắp khóa cục bộ. Socket Security đã cảnh báo tất cả các gói này và báo cáo chúng cho các kho lưu trữ. Dữ liệu lạm phát và hoạt động của nhà phát triển đang được theo dõi sát sao khi mối đe dọa lan rộng.

The security company Socket Security has discovered a cryptocurrency-stealing supply chain attack named TrapDoor, spanning npm, PyPI, and Crates.io, involving over 34 malicious packages and 384 related versions and artifacts, targeting developers in cryptocurrency, DeFi, Solana, Sui, Move, and AI. The attack samples can steal sensitive information such as SSH keys, wallet data, AWS credentials, GitHub tokens, browser data, and environment variables. The npm packages execute the shared payload trap-core.js via postinstall hooks, PyPI packages execute remote JavaScript upon import, and Crates.io packages leverage build.rs to steal local keychains. Socket has flagged all related packages as malicious and reported them to the respective package registries.

Nguồn:Hiển thị bản gốc
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể được lấy từ bên thứ ba và không nhất thiết phản ánh quan điểm hoặc ý kiến của KuCoin. Nội dung này chỉ được cung cấp cho mục đích thông tin chung, không có bất kỳ đại diện hay bảo đảm nào dưới bất kỳ hình thức nào và cũng không được hiểu là lời khuyên tài chính hay đầu tư. KuCoin sẽ không chịu trách nhiệm về bất kỳ sai sót hoặc thiếu sót nào hoặc về bất kỳ kết quả nào phát sinh từ việc sử dụng thông tin này. Việc đầu tư vào tài sản kỹ thuật số có thể tiềm ẩn nhiều rủi ro. Vui lòng đánh giá cẩn thận rủi ro của sản phẩm và khả năng chấp nhận rủi ro của bạn dựa trên hoàn cảnh tài chính của chính bạn. Để biết thêm thông tin, vui lòng tham khảo Điều khoản sử dụngTiết lộ rủi ro của chúng tôi.