Veinte paquetes maliciosos #npm que se hacen pasar por el entorno de desarrollo #Hardhat #Ethereum✅ han atacado claves privadas y datos confidenciales. Estos paquetes, descargados más de 1000 veces, fueron cargados por tres cuentas que utilizaban técnicas #typosquatting para engañar a los desarrolladores. Una vez instalados, los paquetes roban claves privadas, mnemotécnicos y archivos de configuración, los cifran con una clave AES codificada y los envían a los atacantes. Esto expone a los desarrolladores a riesgos como transacciones no autorizadas, sistemas de producción comprometidos, #phishing y aplicaciones descentralizadas maliciosas.

Consejos de mitigación: los desarrolladores deben verificar la autenticidad de los paquetes, evitar el typosquatting, inspeccionar el código fuente, almacenar claves privadas de forma segura y minimizar el uso de dependencias. El uso de archivos de bloqueo y la definición de versiones específicas también pueden reducir los riesgos.
$ETH