Socket：Обнаружены вредоносные npm пакеты, нацеленные на пользователей BSC и Ethereum, крадущие активы криптовалютного Кошелька.

По данным Foresight News, команда по исследованию угроз Socket опубликовала отчет, в котором говорится, что она обнаружила четыре вредоносных npm-пакета, нацеленных на BSC и Ethereum для кражи активов криптокошельков пользователей. Четыре пакета: pancakeuniswapvalidatorsutilssnipe (350 загрузок), pancakeswap-oracle-prediction (445 загрузок), ethereum-smart-contract (305 загрузок) и env-process (1054 скачивания), всего более 2 100 загрузок. Злоумышленник использует обфусцированный код JavaScript, чтобы украсть 80%-85% баланса кошелька цели и перейти на адрес, который он контролирует. Пакеты были написаны тем же актером и охватывали период 3-4 года назад. Socket рекомендует разработчикам внедрить автоматизированное сканирование зависимостей и безопасное управление учетными данными для предотвращения атак. Примечание Foresight News: пакеты npm относятся к пакетам JavaScript, которые управляются через npm (Node Package Manager). npm — это стандартный менеджер пакетов Node.js для установки, совместного использования и управления зависимостями и кодовыми базами проектов JavaScript.