昨晚亲历 qix 开发者账号泄露导致 NPM 超大规模投毒事件

NPM 仓库中多个周下载量超千万的热门组件被投毒，这些组件均为 qix 开发者发布，可能由于其凭证泄漏导致账号被窃取。

昨晚睡前就在 x 上看到各种信息了：

受影响投毒组件被植入恶意的混淆代码 index.js 文件，该恶意代码会劫持浏览器钱包（如 MetaMask ）和网络请求（ fetch 和 XMLHttpRequest ），拦截 ETH 、BTC 、SOL 、TRX 等加密货币交易，通过替换目标地址将资金转移至攻击者钱包（如 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976 ）

混淆后的恶意代码 index.js：

攻击非常有针对性，是针对 web3 相关用户的大规模攻击.这个 javascript payload 不复杂，使用了 obfuscator.io 或者类似的工具。

这个开发者账号泄密的原因是因为被钓鱼邮件迷惑了，点击了邮件里面的链接，但未验证链接属于正确的官方发布的地址。

目前 VirusTotal 仍无法检测异常。

自检：

brew install rg

rg -uu --max-columns=80 --glob '*.js' _0x112fa8 

参考 hacker news: https://www.aikido.dev/blog/npm-debug-and-chalk-packages-compromised

提醒，以后这种邮件里面的 login ，如果有 pasaword 管理工具，可以自动对比域名，不对的域名不会显示自动填充的下拉框的！ v 友还有啥 tips ，都可以提一下，这些依赖用的人太多了！