据安全公司 SlowMist 称,7 月 1 日,研究人员发现一次协调的 npm 供应链攻击,涉及 30 个伪装成交易机器人仓库和 DeFi 工具的恶意包。该攻击针对 npm 用户、DeFi 开发者和交易机器人用户。其中一个名为 stake-math@3.5.4 的包,作为一个仓库中的锁定依赖出现,该仓库产生了约 2300 个几乎相同的分叉版本,主要来自 poly-stocks 账户。
这些恶意包能够从源代码中窃取钱包库、浏览器 cookies、保存的密码、浏览历史、开发者凭据、shell 历史、密码管理器数据库、私钥、种子短语和 API 令牌。SlowMist 建议开发者立即移除受影响的包,并轮换所有暴露的凭据和密钥。