#взлом: один npm install - и MetaMask уже не твой 🤬
😐 Ранее писали про атаку через VS Code плагин на GitHub. Supply chain атаки зашли дальше - теперь через фейковые npm-пакеты для DeFi.
SlowMist и SafeDep раскопали схему: 10 npm-аккаунтов, 30 вредоносных пакетов, один фейковый торговый бот на Polymarket.
Как работает:
На GitHub репо polymarket-arbitrage-bot с обещанием $80к+ годовых. TypeScript, красивый README. Но в package.json зависимость clob-client-math - в коде она даже не используется. Вся суть - postinstall хук тянет 2800-строчный инфостилер.
Что крадёт:
🟢MetaMask, Phantom, Coinbase, TrustWallet - все вольты
🟢Пароли и куки Chrome/Firefox/Brave
🟢SSH ключи, AWS креды, npm токены
🟢Bitwarden и KeePass базы
Причём setup просит создать .env с POLYMARKET_PRIVATE_KEY до npm install - приватник уже лежит на диске когда малварь запускается.
Как маскируются:
Угнали верифицированную GitHub-организацию dev-protocol - японский DeFi проект 2019 года, 568 фолловеров, галочка. Под этой крышей наплодили десятки фейковых ботов. 53 разработчика форкнули до того как палево вскрылось.
🗒 53 разраба форкнули не глядя - верифицированная галочка и красивый README решают. Перед npm install хотя бы откройте package.json.
Slavik | Updates | Инстаграм | ИИ Клуб