npm 包注册表中新增发现 4 个恶意包,这些包具备从以太坊开发者手中窃取加密货币钱包凭证的能力。
“这些包伪装成合法的加密工具和 Flashbots MEV(最大可提取价值)基础设施,同时秘密将私钥和助记词种子窃取并发送至威胁行为者控制的 Telegram 机器人,”Socket 公司研究员库什・潘迪亚(Kush Pandya)在分析报告中表示。
这些恶意包由一名名为 “flashbotts” 的用户上传至 npm 平台,其中最早的库早在 2023 年 9 月就已上传,最新一个则于 2025 年 8 月 19 日上传。截至本文撰写时,这些包仍可下载,具体列表如下:
- @flashbotts/ethers-provider-bundle(下载量 52 次)
- flashbot-sdk-eth(下载量 467 次)
- sdk-ethers(下载量 90 次)
- gram-utilz(下载量 83 次)
仿冒 Flashbots 并非偶然 ——Flashbots 在以太坊网络中承担着缓解 “最大可提取价值”(MEV)负面影响的重要角色,可防范三明治攻击、清算攻击、后置交易攻击、前置交易攻击及时间强盗攻击等行为。
已发现的这些库中,危险性最高的是 “@flashbotts/ethers-provider-bundle”。该包以 “功能正常” 为掩护,隐藏恶意操作:它对外宣称支持完整的 Flashbots API 兼容性,实则暗中植入了通过 Mailtrap(邮件测试工具)的 SMTP 协议窃取环境变量的功能。
此外,该 npm 包还内置了交易操纵函数,可将所有未签名交易重定向至攻击者控制的钱包地址,并记录预签名交易的元数据。
据 Socket 公司介绍,“sdk-ethers” 包大部分功能无害,但包含两个可将助记词种子发送至 Telegram 机器人的函数 —— 只有当不知情的开发者在自己的项目中调用这两个函数时,它们才会被激活。
第二个仿冒 Flashbots 的包 “flashbot-sdk-eth”,其设计目的同样是触发私钥窃取;而 “gram-utilz” 则提供了一种模块化机制,可将任意数据窃取并发送至威胁行为者的 Telegram 聊天窗口。
由于助记词种子是恢复加密货币钱包访问权限的 “主密钥”,窃取这些单词序列后,威胁行为者可入侵受害者的钱包,完全掌控其中资产。
源代码中存在越南语注释,这表明该以牟利为目的的威胁行为者可能以越南语为母语。
此次发现表明,攻击者蓄意利用平台的信任属性,将其武器化以实施软件供应链攻击;此外,他们还将恶意功能隐藏在大量无害代码中,以规避审查。
“由于 Flashbots 受到验证者、搜索者和去中心化金融(DeFi)开发者的广泛信任,任何看似官方 SDK(软件开发工具包)的包,都极有可能被运行交易机器人或管理热钱包的操作者采用,” 潘迪亚指出,“在这种环境下,私钥一旦泄露,可能导致资金被立即窃取,且无法挽回。”
“攻击者利用开发者对熟悉包名的信任,将恶意代码与合法工具混杂在一起 —— 这些包使得常规的 Web3 开发过程,沦为向威胁行为者控制的 Telegram 机器人直接传输数据的通道。”
版权声明·<<<---红客联盟--->>>·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
