SlowMist cảnh báo một vụ tấn công chuỗi cung ứng nhắm vào hệ sinh thái npm, trong đó kẻ xấu phát tán JavaScript infostealer qua các kho lưu trữ bot giao dịch và gói npm liên quan DeFi.
Hệ thống giám sát của SlowMist ghi nhận 30 gói npm độc hại, với [email protected] xuất hiện như một dependency bị khóa trong kho donoaccestag/forex-mt5-trading-bot. Repo này cũng có dấu hiệu bất thường, gồm khoảng 23.000 bản fork gần như giống nhau tập trung dưới tài khoản poly-stocks.
Các gói độc hại có thể đánh cắp dữ liệu nhạy cảm trên máy cục bộ, gồm ví crypto, cookie trình duyệt, mật khẩu, thông tin đăng nhập nhà phát triển, private key, seed phrase và API token trong mã nguồn.
SlowMist khuyến nghị gỡ ngay các gói bị ảnh hưởng, kiểm tra dependency và log CI, coi mọi hệ thống đã chạy npm install là có khả năng đã bị xâm nhập, đồng thời xoay vòng toàn bộ thông tin xác thực đã lộ và dựng lại môi trường từ image sạch.