20 个恶意 #npm 软体包冒充 #Hardhat #Ethereum✅ 开发环境，以私钥和敏感资料为目标。这些软体包下载次数超过 1,000 次，由三个帐户使用 #typosquatting 技术上传，以欺骗开发人员。安装后，这些软体包会窃取私钥、助记词和设定文件，使用硬编码的 AES 金钥对其进行加密，然后将其发送给攻击者。这使开发人员面临未经授权的交易、受损的生产系统、#phishing 和恶意 dApp 等风险。

缓解提示：开发人员应验证套件的真实性，避免拼字错误，检查原始程式码，安全地储存私钥，并尽量减少依赖项的使用。使用锁定档案和定义特定版本也可以降低风险。
$ETH