20 個惡意 #npm 軟件包冒充 #Hardhat #Ethereum✅ 開發環境，以私鑰和敏感數據爲目標。這些軟件包已被下載超過 1,000 次，由三個帳戶使用 #typosquatting 技術上傳，以欺騙開發人員。安裝後，這些軟件包會竊取私鑰、助記符和配置文件，使用硬編碼的 AES 密鑰對其進行加密，然後將其發送給攻擊者。這使開發人員面臨未經授權的交易、受損的生產系統、#phishing 和惡意 dApp 等風險。

緩解技巧：開發人員應驗證軟件包的真實性，避免域名搶注，檢查源代碼，安全存儲私鑰，並儘量減少依賴項的使用。使用鎖定文件和定義特定版本也可以降低風險。
$ETH