【安全团队:黑客团伙利用恶意的 npm 包盗取助记词和数字资产】

【安全团队:黑客团伙利用恶意的 npm 包盗取助记词和数字资产】 5月3日消息,据慢雾区情报反馈,近期有黑客团伙利用恶意的 npm 包进行投毒盗取助记词和数字资产。受害者使用了opensea-wallet-provider npm 包在使用助记词的时候,恶意的包会将助记词发送到攻击者的服务器上,从而窃取受害者的助记词。 由于在 npmjs.com 上传 npm 包不需要进行审核,并且包的基础信息可以任意填写,因此攻击者可以构造恶意的 npm 包,并伪造 npm 包的基础信息混淆视听,骗开发人员安装恶意的包。 建议排查代码中是否有使用到该恶意的opensea-wallet-provider npm 包。如果有使用到注意及时转移资产并更换钱包助记词。在日常安装使用 npm 包的时候要注意审查包的可靠性和真实性,可以通过查看包的下载量进行辅助分析,还可以通过包的下载链接进行识别,一般开源的包会放在官方团队维护的 GitHub 仓库中。

相关推荐

封面图片

NFT资产购买1⃣下载钱包 保存好助记词

NFT资产购买 1⃣下载钱包 保存好助记词 2⃣打开拍卖官网 3⃣点击 connect ton 连接钱包和connect Telegram 连接账号 4⃣点击usernames,numbers挑选喜欢的用户名或匿名号码参与竞拍 5⃣购买ton可通过 @okpay 用USDT进行购买 6⃣如果有人与你竞价,你需要出更高价去获得你想要的NFT,等待竞拍结束后,NFT用户名或手机号将存放到你的钱包当中,成为虚拟资产。 NFT用户名上链教程 1⃣打开官网: 2⃣登入Tonkeeper钱包和Telegram账号 3⃣点击Convert to Collectibles 选择要上链的用户名 4⃣返回到telegram账号 输入二步验证 5⃣返回网站设置价格,最低10TON,然后扫码付款启动拍卖。 6⃣ 开始拍卖,没人竞价会在7天之后上链成功,如果有人竞价,最后的出价者将获得该用户名。 上链手续费5TON+成交价的5% NFT用户名设置教程 1⃣打开官网:www.fragment.com 2⃣点击右上角三条杠登陆钱包和要分配的Telegram账号 3⃣点击My Assets 4⃣点击Assign to Telegram 5⃣选择要分配的频道群组或个人用户名 6⃣点击Assign分配用户名 7⃣分配成功后回到Telegram 设置-编辑-用户名-启用用户名 每个频道或个人账户均可挂10个用户名
封面图片

刨洞安全团队发现新恶意团伙“紫狐”针对 finalshell 的供应链事件

刨洞安全团队发现新恶意团伙“紫狐”针对 finalshell 的供应链事件 近期,一个名为“紫狐”的恶意团伙通过虚假的 finalshell 官网 www.finalshell[.]org 投放恶意木马病毒。该域名是近期注册的新域名,使用的还是 Let's Encrypt 的免费证书。 刨洞安全团队发现了这件事,并发布了公告。众所周知,finalshell 拥有大量的用户。而此虚假官方网站在搜索引擎里排名很高,导致很多用户很容易上当下载。 某些 CSDN 的博文还会提到去此恶意网址下载 finalshell,具有极强的诱导性。
封面图片

【Algorand 生态钱包 MyAlgo:仍未发现黑客攻击的根本原因,建议用户提取资产】

【Algorand 生态钱包 MyAlgo:仍未发现黑客攻击的根本原因,建议用户提取资产】 Algorand生态钱包MyAlgo发推称,强烈建议所有用户从MyAlgo助记词钱包中提取任何资金,由于仍然不知道最近黑客攻击的根本原因,MyAlgo鼓励大家采取预防措施来保护资产。MyAlgo表示黑客攻击发生在一个多星期以前,此后没有发生其他行动,受攻击的用户在他们的账户上都拥有大量资金,并使用助记词钱包,密钥存储在浏览器中,没有人使用硬件钱包。MyAlgo将继续与当局紧密合作,并进行彻底的调查,以确定攻击的根本原因。
封面图片

【香港数字资产保险公司OneDegree:已接获超100个团队表示有兴趣发展稳定币】

【香港数字资产保险公司OneDegree:已接获超100个团队表示有兴趣发展稳定币】 香港财经事务及库务局与金管局今日联合发表稳定币相关的公众咨询文件,虚拟保险商OneDegree联创郭彦麟表示,已接获逾100个项目团队表示对发展稳定币的兴趣,使用案例包括支付、跨境贸易融资、股权及债务资本市场、去中心化金融(DeFi)及GameFi (Game Finance)等,部份项目更同时对稳定币及申请本港虚拟资产服务供应商(VASP)牌照有兴趣。 OneDegree认为,使用案例大幅增加及主流市场接受受监管的稳定币的情况下,虚拟资产交易所、托管及资产管理公司将录得更大的交易量及资金流,温钱包(warm wallet)及热钱包(hot wallet)投资者保障范围的上限应该提升。 快讯/广告 联系 @xingkong888885
封面图片

【ScamSniffer:近半年来,WalletDrainer利用Create2钓鱼手法盗取近6000万美元】

【ScamSniffer:近半年来,WalletDrainer利用Create2钓鱼手法盗取近6000万美元】 Scam Sniffer在X平台发文表示,Wallet Drainer通过为每个恶意签名生成新地址来滥用Create2绕过某些钱包中的安全警报。据了解,CREATE2操作码允许用户在合约部署到以太坊网络之前预测其地址。Uniswap使用CREATE2创建Pair合约。 使用Create2,Drainer可以很容易地为每个恶意签名生成临时的新地址。在受害者签署签名后,滤干者在该地址创建合同并转移用户的资产。其动机是绕过钱包安全检查。 在过去的六个月里,此类Drainer从大约99000名受害者那里盗取近6000万美元。自8月以来,一个组织在Address Poisoning中使用了同样的技术,从11名受害者那里连续窃取了近300万美元的资产,其中一名受害者损失高达160万美元。 慢雾创始人余弦就此表示:“这个钓鱼技巧可以的,用Create2来预创建资金接收地址(一旦钓鱼成功才会创建,而且是一个合约地址,否则这个地址什么都没),这样可以绕过许多钱包的安全检测机制。看哪些钱包能及时跟进增强下。” 快讯/广告 联系 @xingkong888885
封面图片

据慢雾区情报,近期 Terra 链上部分用户的资产被恶意转出。慢雾安全团队发现从 4 月 12 日开始至 4 月 21 日约有

据慢雾区情报,近期 Terra 链上部分用户的资产被恶意转出。慢雾安全团队发现从 4 月 12 日开始至 4 月 21 日约有 52 个地址中的资金被恶意转出至 terra1fz57nt6t3nnxel6q77wsmxxdesn7rgy0h27x30 中,当前总损失约 431 万美金。

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人