2026-01-09 03:22:07

Récemment, une série d'incidents très dangereux ont été révélés — quelqu’un a publié sur npm 3 packages malveillants imitant des bibliothèques Bitcoin (bitcoin-main-lib, bitcoin-lib-js, bip40), qui ont été téléchargés plus de 3400 fois avant d’être retirés une fois découverts. Cela peut sembler peu, mais les conséquences sont effrayantes.

Ces packages contiennent un cheval de Troie NodeCordRAT qui agit comme un "pilleur" d’actifs numériques, réalisant principalement ces actions : voler directement les identifiants de connexion du navigateur Chrome, divers tokens API, et de manière encore plus grave, dérober les clés privées et les phrases mnémoniques du portefeuille MetaMask. Lorsqu’un développeur infecté exécute ces packages, c’est comme ouvrir grand la porte aux hackers pour accéder à tout le portefeuille.

Cet incident rappelle une fois de plus que la sécurité de la chaîne d’approvisionnement des packages npm ne doit pas être prise à la légère. Les développeurs doivent faire preuve de vigilance lorsqu’ils récupèrent des dépendances, en vérifiant la provenance et les évaluations des packages, surtout s’ils sont inconnus ou ont une fréquence de mise à jour anormale. Par ailleurs, pour des outils sensibles comme MetaMask ou Chrome, il est prudent de vérifier régulièrement les permissions et d’être prudent lors de l’installation de plugins.

BTC0,09%

Voir l'original

Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.

11 J'aime

Récompense
11
5
Reposter
Partager

Commentaire

0/400

NFTFreezer

· 01-09 03:50

C'est encore une histoire de npm, impossible à prévenir Plus de 3400 téléchargements, rien que d'y penser ça fait peur... il faut vite vérifier les paquets que j'ai installés Putain, on peut même voler la clé privée de MetaMask ? Ça doit être vraiment méchant npm devrait vraiment renforcer ses contrôles, n'importe qui peut publier maintenant La prochaine fois, il faut absolument vérifier l'historique des commits et le nombre de téléchargements des paquets, on ne peut pas installer n'importe quoi de façon impulsive Cette attaque de la chaîne d'approvisionnement est vraiment impressionnante, les développeurs doivent faire plus attention

Voir l'originalRépondre0

FortuneTeller42

· 01-09 03:49

Mon Dieu, plus de 3400 fois ? Ça doit coûter une fortune en bandeau nu... --- Le pare-feu npm est-il aussi fragile maintenant ? Pas étonnant que je doive tout vérifier moi-même --- Encore cette histoire de prétendre être une bibliothèque connue, bon, à partir de maintenant, il faut toujours vérifier le checksum --- Je veux juste savoir comment vont les personnes qui ont téléchargé ces 3400 fois, quelqu’un a découvert qu’il s’était fait voler ? --- Clé privée MetaMask directement volée... c’est encore pire que le social engineering, le gars qui a été victime doit pleurer en se vidant dans les toilettes --- Pourquoi faut-il toujours qu’un problème survienne pour qu’on pense à la sécurité, je ne peux vraiment plus tenir --- C’est pour ça que je ne fais jamais confiance aux packages inconnus, regarder la note et la date de mise à jour suffit --- Avertissement sérieux, mais honnêtement, la plupart des gens installent quand même n’importe quoi, à quoi ça sert de savoir ? --- L’écosystème nodejs est tellement rempli de "faux" ! Les mainteneurs doivent être épuisés --- Ne pas avoir de problème, c’est ne pas apprendre, c’est un cycle sans fin

Voir l'originalRépondre0

BlockchainTherapist

· 01-09 03:34

3400 téléchargements ce n'est pas beaucoup mais c'est vraiment effrayant, combien de portefeuilles vont exploser directement... --- Il faut vraiment faire attention avec npm, qui sait quel paquet est une arnaque à la manière d'une ruche --- Je suis vraiment inquiet à propos du vol de la clé privée MetaMask, il faut aussi faire des audits réguliers --- La sécurité de la chaîne d'approvisionnement n'a jamais été vraiment résolue dans le web3, télécharger un paquet c'est comme ouvrir une boîte de Pandore --- Pourquoi est-ce toujours comme ça, les développeurs sont vraiment trop négligents --- Le nom bitcoin-main-lib est vraiment trop rusé, il faut vérifier la source de près --- Le vol de certificats Chrome est déjà grave, mais c'est MetaMask qui est vraiment critique

Voir l'originalRépondre0

NeonCollector

· 01-09 03:32

3400 téléchargements ? Vraiment, combien de personnes ont été touchées... npm est-il maintenant si peu sécurisé ?

Voir l'originalRépondre0

TokenRationEater

· 01-09 03:30

3400次 téléchargement, ce n'est pas beaucoup, mais si on se fait avoir une seule fois, c'est la fin. --- Le chaos chez npm devient de plus en plus opaque, à cette époque, n'importe quel paquet ose être publié. --- Je veux juste savoir ce que ces gens pensent, croient-ils vraiment pouvoir tromper tout le monde ? --- Les clés privées MetaMask peuvent être volées, c'est encore plus grave que de se faire voler directement de l'argent. --- Encore des problèmes de chaîne d'approvisionnement, les développeurs doivent apprendre à retenir la leçon. --- 3400 développeurs ont une psychologie de gambler, ils osent utiliser des paquets inconnus. --- Ce genre d'attaque est vraiment difficile à prévenir, on ne peut que faire très attention soi-même. --- Je l'avais déjà dit, le mécanisme de vérification de npm est complètement inefficace, et voilà qu'il y a un problème. --- La divulgation de la clé privée équivaut à la mort sociale, il faut en tirer des leçons profondes. --- On a l'impression que la sécurité Web3 est toujours en mode pompiers, il n'y a pas de solution réelle.

Voir l'originalRépondre0