慢雾:npm生态遭30个恶意包攻击,开发者凭证和私钥面临窃取风险
okx 7月1日消息,据慢雾安全警报,其监测系统发现一起针对npm生态的协同恶意供应链攻击。攻击者通过伪造交易机器人仓库和DeFi主题的npm包投放JavaScript信息窃取程序,涉及30个恶意npm包,其中stake-math@3.5.4作为锁定依赖出现在donoaccestag/forex-mt5-trading-bot仓库中。该仓库存在明显异常信号,约2.3万个高度同质化的分叉仓库集中在poly-stocks账户下。攻击者可窃取加密钱包、浏览器Cookie、密码、开发者凭证、私钥、助记词及源码中的API令牌等本地敏感数据。开发者应立即移除受影响包,审计项目依赖和CI日志,将运行过npm install的系统视为可能被入侵,轮换暴露的凭证,并从干净镜像重建环境。
