Vingt packages malveillants #npm se faisant passer pour l'environnement de développement #Hardhat #Ethereum✅ ont ciblé des clés privées et des données sensibles. Ces packages, téléchargés plus de 1 000 fois, ont été chargés par trois comptes utilisant des techniques #typosquatting pour tromper les développeurs. Une fois installés, les packages volent des clés privées, des mnémoniques et des fichiers de configuration, les cryptent avec une clé AES codée en dur et les envoient aux attaquants. Cela expose les développeurs à des risques tels que des transactions non autorisées, des systèmes de production compromis, #phishing et des dApps malveillantes.

Conseils d'atténuation : les développeurs doivent vérifier l'authenticité des packages, éviter le typosquatting, inspecter le code source, stocker les clés privées en toute sécurité et minimiser l'utilisation des dépendances. L'utilisation de fichiers de verrouillage et la définition de versions spécifiques peuvent également réduire les risques.
$ETH