快訊

安全團隊：駭客團伙利用惡意的 npm 包盜取助記詞和數字資產

金色財經 2022-05-03 12:00

5月3日消息，據慢霧區情報反饋，近期有駭客團伙利用惡意的 npm 包進行投毒盜取助記詞和數字資產。受害者使用了`opensea-wallet-provider` npm 包在使用助記詞的時候，惡意的包會將助記詞發送到攻擊者的服務器上，從而竊取受害者的助記詞。由於在 npmjs.com 上傳 npm 包不需要進行審核，並且包的基礎資訊可以任意填寫，因此攻擊者可以構造惡意的 npm 包，並偽造 npm 包的基礎資訊混淆視聽，騙開發人員安裝惡意的包。建議排查代碼中是否有使用到該惡意的`opensea-wallet-provider` npm 包。如果有使用到注意及時轉移資產並更換錢包助記詞。在日常安裝使用 npm 包的時候要注意審查包的可靠性和真實性，可以通過查看包的下載量進行輔助分析，還可以通過包的下載鏈接進行識別，一般開源的包會放在官方團隊維護的 GitHub 倉庫中。

暢行幣圈交易全攻略，專家駐群實戰交流

▌立即加入鉅亨買幣實戰交流 LINE 社群（點此入群）
不管是新手發問，還是老手交流，只要你想參與虛擬貨幣現貨交易、合約跟單、合約網格、量化交易、理財產品的投資，都歡迎入群討論學習！

▶ 前往鉅亨買幣找交易所優惠

買幣要選交易所！優惠盡在鉅亨買幣
掌握全球財經資訊點我下載APP

‌