登录
注册
据 Woofun AI 消息,MistEye 监测到一起针对 npm 用户及 DeFi 开发者的协调性供应链攻击。该活动涉及 30 个恶意 npm 包,包括 stake-math@3.5.4,这些包通过 donoaccestag/forex-mt5-trading-bot 代码库作为锁定依赖项传播。该代码库存在明显异常,依赖已被报告的恶意包,且拥有约 2300 个高度同质的分叉,主要集中在 poly-stocks 账户下。
攻击者旨在窃取本地敏感数据,涵盖加密钱包、浏览器 cookies、保存的密码、浏览历史、开发者凭证、shell 历史、密码管理器保管箱、私钥、助记词以及源代码中的 API 令牌。建议开发者立即移除受影响包,审计 package.json / package-lock.json 和 CI 日志,将曾运行 npm install 的系统视为潜在受害目标,及时更换暴露的凭证并从干净镜像重建环境。