Dvacet škodlivých balíčků #npm vydávajících se za vývojové prostředí #Hardhat #Ethereum✅ se zaměřilo na soukromé klíče a citlivá data. Tyto balíčky, stažené více než 1000krát, byly nahrány třemi účty pomocí technik #typosquatting , aby oklamaly vývojáře. Po instalaci balíčky ukradnou soukromé klíče, mnemotechnické pomůcky a konfigurační soubory, zašifrují je pevně zakódovaným klíčem AES a pošlou je útočníkům. To vystavuje vývojáře rizikům, jako jsou neautorizované transakce, kompromitované produkční systémy, #phishing a škodlivé dApps.

Tipy pro zmírnění: Vývojáři by měli ověřit pravost balíčku, vyhnout se překlepům, zkontrolovat zdrojový kód, bezpečně ukládat soukromé klíče a minimalizovat používání závislostí. Rizika lze snížit také pomocí zamykacích souborů a definováním konkrétních verzí.
$ETH