首页 资讯 正文

慢雾:检测到针对 npm 用户和 DeFi 开发者的恶意供应链攻击活动

2026年07月01日 08:55

Foresight News 消息,据 SlowMist 监测,MistEye 检测到一起协调性的恶意 npm 供应链活动,该活动利用虚假的交易机器人代码库和 DeFi 主题的 npm 包,向 npm 用户、DeFi 开发者和交易机器用户投放 JavaScript 信息窃取工具。

此次活动涉及 30 个恶意 npm 包,包含 [email protected],该包在 donoaccestag/forex-mt5-trading-bot 中显现为锁定依赖项。该代码库显示出明显异常信号:依赖于已被安全报告的恶意 npm 包,且有约 2300 个高度同质、可能是批量生成的分叉,主要集中在 poly-stocks 账户下。

潜在攻击者的行为包括窃取本地敏感数据,如加密钱包、浏览器 cookies、保存的密码、浏览历史、开发者凭证、shell 历史、密码管理器保管箱、私钥、助记词以及源代码中发现的 API 令牌。开发者应立即移除受影响的 npm 包,审计 package.json / package-lock.json 和 CI 日志,以查找这 30 个恶意包,视曾运行 npm install 的系统为潜在被攻击者,及时更换暴露的钱包、私钥、npm 令牌、云凭证、SSH 密钥及 API 令牌,并从干净的镜像重建受影响的环境。