Socket: Menemukan paket npm jahat yang menargetkan pengguna BSC dan Ethereum, mencuri aset dompet enkripsi.

Menurut Foresight News, tim riset ancaman Socket merilis laporan yang mengatakan bahwa mereka telah menemukan empat paket npm berbahaya yang menargetkan BSC dan Ethereum untuk mencuri aset dompet kripto pengguna. Keempat paket tersebut adalah: pancakeuniswapvalidatorsutilssnipe (350 unduhan), pancakeswap-oracle-prediction (445 unduhan), ethereum-smart-contract (305 unduhan), dan env-process (1054 unduhan), dengan total lebih dari 2.100 unduhan. Penyerang menggunakan kode JavaScript yang dikaburkan untuk mencuri 80%-85% dari saldo dompet target dan pergi ke alamat yang mereka kendalikan. Paket-paket tersebut ditulis oleh aktor yang sama dan berlangsung 3-4 tahun yang lalu. Socket merekomendasikan agar pengembang mengadopsi pemindaian dependensi otomatis dan manajemen kredensial yang aman untuk mencegah serangan. Catatan Berita Foresight: Paket npm mengacu pada paket JavaScript yang dikelola melalui npm (Node Package Manager). npm adalah pengelola paket default Node.js untuk menginstal, berbagi, dan mengelola dependensi dan basis kode proyek JavaScript.