20 个恶意 #npm 软体包冒充 #Hardhat #Ethereum✅ 开发环境,以私钥和敏感资料为目标。这些软体包下载次数超过 1,000 次,由三个帐户使用 #typosquatting 技术上传,以欺骗开发人员。安装后,这些软体包会窃取私钥、助记词和设定文件,使用硬编码的 AES 金钥对其进行加密,然后将其发送给攻击者。这使开发人员面临未经授权的交易、受损的生产系统、#phishing 和恶意 dApp 等风险。
缓解提示:开发人员应验证套件的真实性,避免拼字错误,检查原始程式码,安全地储存私钥,并尽量减少依赖项的使用。使用锁定档案和定义特定版本也可以降低风险。