Comprar Cripto
Pagar com
USD
USD
Comprar e vender
HOT
Compre e venda criptomoedas através da Apple Pay, cartões, Google Pay, transferências bancárias e muito mais
P2P
0 Fees
Taxas zero, mais de 400 opções de pagamento e compra e venda fácil de criptomoedas
Cartão Gate
Cartão de pagamento de criptomoedas, que permite transações globais sem falhas.
Mercados
Negociar
Básico
Avançado
Futuros
Futuros
Centenas de contratos liquidados em USDT ou BTC
Opções
HOT
Negoceie Opções Vanilla ao estilo europeu
Conta Unificada
Maximize a eficiência do seu capital
Arranque dos futuros
Prepare-se para a sua negociação de futuros
Eventos de futuros
Participe em eventos para ganhar recompensas generosas
Negociação de demonstração
Utilize fundos virtuais para experimentar uma negociação sem riscos
Earn
Lançamento
CandyDrop
tag
Recolher doces para ganhar airdrops
Launchpool
Faça staking rapidamente, ganhe potenciais novos tokens
HODLer Airdrop
Detenha GT e obtenha airdrops maciços de graça
Launchpad
Chegue cedo ao próximo grande projeto de tokens
Pontos Alpha
NEW
Negoceie ativos on-chain e desfrute de recompensas de airdrop!
Pontos de futuros
NEW
Ganhe pontos de futuros e receba recompensas de airdrop
Investimento
Comunidade
Square
Gate Fun
Partilhe a sua publicação e mantenha-se informado sobre as criptomoedas e não só
Em direto
moments live
Análise de mercado cripto em tempo real
Conversar
Converse com os operadores cripto
Notícias
O que está a acontecer na criptografia
Mais
Promoções
Guia para iniciantes
giveaways
Centro de Recompensas
Square
Últimas
Quente
Notícias
Perfil
CoinOceanNavigatorvip

Recentemente, foi exposta uma situação bastante perigosa — alguém colocou na npm três pacotes maliciosos que se disfarçam de bibliotecas do Bitcoin (bitcoin-main-lib, bitcoin-lib-js, bip40). Antes de serem descobertos e removidos, eles já tinham sido baixados mais de 3400 vezes. Parece um número pequeno, mas as consequências são assustadoras.



Os trojans NodeCordRAT embutidos nesses pacotes são verdadeiros "ladrões" de ativos digitais, realizando principalmente estas ações: roubar credenciais de login do navegador Chrome, diversos tokens de API, e o mais grave, conseguir roubar de uma só vez a chave privada e a frase-semente da carteira MetaMask. Quando um desenvolvedor infectado executa esses pacotes, toda a carteira fica aberta para hackers.

Este incidente reforça mais uma vez que a segurança na cadeia de suprimentos dos pacotes npm não pode ser negligenciada. Os desenvolvedores devem ficar atentos ao puxar dependências, verificando a origem e as avaliações de pacotes desconhecidos ou com frequência de atualização anormal. Além disso, para ferramentas de alta vulnerabilidade como MetaMask e Chrome, é fundamental verificar regularmente as permissões e instalar plugins com cautela para garantir a segurança.
BTC0,7%
Ver original
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
  • Recompensa
  • 8
  • Republicar
  • Partilhar
Comentar
0/400
just_vibin_onchainvip
· 21h atrás
艹,3400多次...isto deve ter apanhado quantas pessoas --- npm realmente precisa de atenção própria, qualquer um pode fazer upload --- A chave privada ser roubada é o fim, desta vez é realmente sério --- Cada vez que instalo um pacote, tenho que verificar o histórico de commits e as informações do autor, que chatice, mas não há jeito --- O nome bitcoin-lib-js foi escolhido assim, só para enganar quem não entende --- MetaMask precisa verificar rapidamente as permissões, estou assustado --- Ataques na cadeia de suprimentos nunca vão desaparecer, só vão ficar mais sofisticados
Ver originalResponder0
FarmHoppervip
· 01-11 14:17
Caramba, mais de 3400 downloads... quantas pessoas terão sido enganadas, só de pensar já fico sem forças nas pernas A cadeia de abastecimento realmente é difícil de proteger, tenho que ficar de olho todos os dias naqueles pacotes suspeitos no npm Sou um saltador de fazenda.
Ver originalResponder0
TokenomicsTherapistvip
· 01-11 11:44
3400+ downloads, quantas pessoas foram enganadas assim --- Mais uma vez, cadeia de abastecimento, npm virou o mercado de hackers --- Chave privada roubada, está tudo perdido, quantos pacotes foram esvaziados nesta onda --- Eu já tinha avisado, não instale pacotes de fontes desconhecidas, agora deu nisso --- MetaMask precisa lançar uma notificação de segurança logo, esse caso é sério --- bitcoin-lib esse nome parece bem impressionante, quem diria que é uma armadilha --- Parece que no futuro, instalar pacotes npm vai precisar ser tão cuidadoso quanto instalar software --- Se essa informação vazar, quanto tempo os desenvolvedores vão levar para confiar novamente nos pacotes do npm --- NodeCordRAT? Esse nome já soa como um banco de dados de engenharia social
Ver originalResponder0
NFTFreezervip
· 01-09 03:50
Isto é uma droga, mais uma vez problemas com o npm, é difícil de evitar Mais de 3400 downloads, só de pensar nisso dá medo... preciso verificar rapidamente os pacotes que instalei Caramba, até a chave privada do MetaMask pode ser roubada? Quão perigoso isso é O npm realmente deveria reforçar a revisão, agora qualquer um pode publicar Na próxima vez, é preciso verificar o histórico de submissão do pacote e o número de downloads, não se deve instalar coisas de fontes desconhecidas Este ataque à cadeia de suprimentos foi realmente extremo, os desenvolvedores precisam ficar atentos
Ver originalResponder0
FortuneTeller42vip
· 01-09 03:49
天哪,3400多次?Isso deve custar uma fortuna para estar exposto assim... --- npm agora também está tão vulnerável? Não é de admirar que eu tenha que revisar tudo sozinho agora --- Mais uma vez, fingindo ser uma biblioteca conhecida, ok, a partir de agora tenho que verificar o checksum --- Só quero saber como estão as pessoas que fizeram esses 3400 downloads, alguém descobriu que foi roubado? --- Chave privada do MetaMask roubada diretamente... isso é pior que engenharia social, o amigo que foi vítima deve estar chorando de vergonha no banheiro --- Por que toda vez que acontece algo só lembramos da segurança? Realmente não aguento mais --- É por isso que eu nunca confio em pacotes desconhecidos, basta olhar a avaliação e a última atualização --- Aviso rigoroso, mas para ser honesto, a maioria das pessoas ainda instala de qualquer jeito, pra que serve saber disso? --- Por que o ecossistema Node.js tem tantos "falsificados"? Os mantenedores devem estar exaustos --- Se não acontecer nada, não aprendemos, ciclo sem fim, né
Ver originalResponder0
BlockchainTherapistvip
· 01-09 03:34
3400 downloads não é muito, mas é realmente assustador, quantas carteiras vão explodir diretamente... --- Esta parte do npm realmente precisa de atenção, quem sabe qual pacote é uma armadilha --- Tenho mesmo medo de o segredo privado do MetaMask ser roubado, preciso fazer auditorias regulares --- A segurança da cadeia de abastecimento nesta web3 ainda não foi realmente resolvida, pegar um pacote é como abrir uma caixa de surpresas --- Por que sempre é assim? Os desenvolvedores são muito descuidados, não é? --- O nome bitcoin-main-lib também é muito astuto, é preciso verificar a origem com atenção --- O roubo de credenciais do Chrome é grave, mas o do MetaMask é que realmente pode ser fatal
Ver originalResponder0
NeonCollectorvip
· 01-09 03:32
3400 downloads? Sério, quantas pessoas serão afetadas... O npm está tão vulnerável assim agora?
Ver originalResponder0
TokenRationEatervip
· 01-09 03:30
3400次下载听着不多,但真要中招一个都完蛋啊 --- npm那摊子水越来越浑了,这年头什么包都敢往上架 --- Eu só quero saber o que é que esta malta está a pensar, realmente acham que conseguem enganar o sistema? --- MetaMask private keys podem ser roubadas, isto é ainda mais grave do que roubar dinheiro diretamente --- Mais uma vez, problemas na cadeia de abastecimento, os desenvolvedores têm que aprender a lição --- 3400 desenvolvedores, uma mentalidade de apostadores, são demasiado confiantes, usam pacotes desconhecidos --- Este tipo de ataque é realmente difícil de prevenir, só podemos ser cautelosos --- Já tinha dito que o mecanismo de revisão do npm é praticamente inútil, e afinal aconteceu algo --- A exposição da private key equivale a perder a reputação, isto deve ser profundamente refletido --- Sinto que a segurança no web3 está sempre a apagar incêndios, não há uma solução definitiva
Ver originalResponder0

  • Fixar

Mapa do site
Negocie cripto em qualquer lugar e a qualquer hora
qrCode
Digitalizar para transferir a aplicação Gate
Novidades
Português (Portugal)
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)
    • Sobre nósCarreirasSala de imprensaPatrocinador da Oracle Red Bull RacingParceiro oficial de manga do FC InterContrato de utilizadorAviso de riscoPolítica de privacidadePolítica de cookiesKit de mediaComprovativo de ReservasLicençaSegurançaGateToken (GT)GUSDGate ChainEventos GateAutoridadesCimeirasGate Ventures
    P2PConversão e negociação em blocosNegociação à vistaNegociação de futurosAçõesAlphaMargemTokens alavancadosNFTGate PayGate LifeCartão de ofertaGate OTCGate CharityLoja GateWeb3Gate Perp DEXGate Vault
    Benefícios VIPInstitucionalFeedback do utilizadorAnúncioTarifasCentral de AjudaEnviar um pedidoSolicitação de listagemContrato inteligente seguroDesenvolvedoresVerificação de PesquisaAplicação de Mercador P2PPrograma de afiliadosCalendário CriptoSolução cross-chain da
    Gate LearnCursos de CriptomoedasGlossário de CriptomoedasPreços de criptomoedasGrandes DadosDivisão ao Meio do BitcoinAtualização do Ethereum (ETH)Wiki de criptomoedasCalculadora de cripto