Socket 威胁研究团队发布报告称,其已发现四个针对 BSC 和以太坊的恶意 npm 包,窃取用户加密钱包资产。这四个包为:pancake_uniswap_validators_utils_snipe(350 次下载)、pancakeswap-oracle-prediction(445 次下载)、ethereum-smart-contract(305 次下载)和 env-process(1054 次下载),总下载量超 2100 次。攻击者使用混淆 JavaScript 代码,窃取目标钱包余额的 80%-85%,并转至其控制的地址。这些包由同一行为者编写,时间跨度为 3-4 年前。Socket 建议开发者采用自动化依赖扫描和安全凭证管理,以防止攻击。Foresight News 注,npm 包是指通过 npm(Node Package Manager)管理的 JavaScript 软件包。npm 是 Node.js 的默认包管理器,用于安装、分享和管理 JavaScript 项目的依赖项和代码库。(Foresight News)
