2026-01-09 03:22:07

Недавно была раскрыта очень опасная ситуация — на npm были размещены 3 вредоносных пакета, выдающих себя за библиотеки Bitcoin (bitcoin-main-lib, bitcoin-lib-js, bip40). Перед их удалением после обнаружения их скачали более 3400 раз. Звучит не очень много, но последствия могут быть очень серьезными.

Встроенный в эти пакеты троянский вирус NodeCordRAT — это настоящий "враг" цифровых активов, который занимается следующими злоумышленными действиями: напрямую похищает логин и пароль для браузера Chrome, различные API-токены, а самое опасное — может украсть приватные ключи и мнемонические фразы кошелька MetaMask. Если заражённый разработчик запустит эти пакеты, его кошелёк окажется полностью открыт для хакеров.

Этот инцидент ещё раз напоминает всем о необходимости серьёзно относиться к безопасности цепочки поставок npm-пакетов. Разработчикам стоит быть особенно внимательными при загрузке зависимостей: лучше проверить источник и отзывы для незнакомых или часто обновляемых пакетов. Также для таких высокорискованных инструментов, как MetaMask и Chrome, регулярная проверка настроек разрешений и осторожность при установке расширений — это наиболее надёжные меры.

BTC0,07%

Посмотреть Оригинал

На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .

11 Лайков

Награда
11
5
Репост
Поделиться

комментарий

0/400

NFTFreezer

· 01-09 03:50

Это черт возьми, снова проблема с npm, от которой невозможно защититься Более 3400 скачиваний, только подумать — и становится страшно... Нужно срочно проверить все установленные пакеты Черт возьми, даже приватный ключ MetaMask можно украсть? Насколько это жестко npm действительно нужно ужесточить проверку, сейчас любой может разместить пакет В следующий раз обязательно проверяйте историю отправки пакета и число скачиваний, нельзя просто так устанавливать незнакомые вещи Эта атака на цепочку поставок действительно была на высоте, разработчикам нужно быть более бдительными

Посмотреть ОригиналОтветить0

FortuneTeller42

· 01-09 03:49

Боже мой, более 3400 раз? Сколько же кошельков работают без защиты... --- npm теперь такая слабая защита? Не удивительно, что теперь мне приходится всё проверять самому --- Опять выдают себя за известные библиотеки, ладно, с этого момента нужно проверять контрольные суммы --- Интересно, как сейчас дела у этих 3400 человек, которые скачали пакет, кто-нибудь обнаружил кражу? --- Прямое извлечение приватных ключей MetaMask... это жесче, чем социальная инженерия, те ребята, кто попался, должны рыдать --- Почему каждый раз беда учит, а не предупреждение, не могу себя контролировать --- Вот поэтому я никогда не доверяю незнакомым пакетам, проверяю рейтинг и время обновления — этого достаточно --- Суровое предупреждение, но честно говоря, большинство всё равно устанавливают абы что, толку от знаний? --- Почему в экосистеме Node.js столько "подделок", сколько же устают разработчики --- Если не случится проблема, не научатся, замкнутый круг, получается

Посмотреть ОригиналОтветить0

BlockchainTherapist

· 01-09 03:34

3400 скачиваний — не так много, но действительно страшно, сколько кошельков прямо взорвется... --- В этой части npm действительно нужно быть поосторожнее, кто знает, какой пакет — это ловушка --- Я действительно боюсь, что приватный ключ MetaMask украден, нужно регулярно проводить аудит --- Безопасность цепочки поставок в Web3 так и не была решена по-настоящему, даже установка пакета — как открытие лотереи --- Почему всё всегда так происходит, разработчики слишком неосторожны --- Название bitcoin-main-lib слишком хитрое, нужно внимательно проверять источник --- Кража учетных данных Chrome — это уже не так страшно, гораздо опаснее MetaMask

Посмотреть ОригиналОтветить0

NeonCollector

· 01-09 03:32

3400 скачиваний? Правда? Сколько же людей пострадало... npm сейчас так слабо защищен?

Посмотреть ОригиналОтветить0

TokenRationEater

· 01-09 03:30

3400次 загрузок — не так много, но если поймают хотя бы одного, всё будет плохо --- Обстановка с npm становится всё более мутной, в наши дни какие только пакеты не выкладывают --- Я просто хочу понять, что думают эти люди, действительно ли они верят, что смогут скрыться? --- Кража приватных ключей MetaMask — это даже жестче, чем просто ограбление --- Опять проблемы с цепочкой поставок, разработчикам нужно запомнить это на всю жизнь --- 3400 разработчиков — у них слишком сильная азартная психология, они готовы использовать незнакомые пакеты --- Такого рода атаки действительно невозможно полностью предотвратить, можно только быть очень осторожным --- Я давно говорил, что проверка npm — фикция, и вот, наконец, случилось что-то серьёзное --- Обнародование приватного ключа — это как публичное унижение, нужно глубоко задуматься --- Кажется, безопасность Web3 всегда на грани, решения пока что нет

Посмотреть ОригиналОтветить0