人気のあるnpmパッケージが攻撃を受けました。悪いニュースです。この攻撃はフィッシングを通じてqixを標的にし、現在chalk、strip-ansi、color-convertが侵害されています。これらのツール?ウェブ3プロジェクトの至るところにあります。悪意のあるものはかなり狡猾に見えます。ウォレット機能にフックします。ETHとSOLのトランザクションの行き先を変更します。ネットワークレスポンス内のアドレスにも干渉します。これはコードインジェクションのようです。無断のコードが正当なパッケージに忍び込みます。そして、それはあなたが知らないうちに何かをします。考えてみると、ちょっと怖いですね。これらのパッケージを使用すると、あなたのアプリは脆弱になります。自分を守ることはそれほど複雑ではありません。取引を確認する前にアドレスをチェックしてください。アドレスを貼り付けた後に再度確認してください - 微妙な変更が重要です。取引履歴を注意深く見守ってください。大きな取引のためにハードウェアウォレットを取得するのも良いかもしれません。入力検証は重要です。依存関係のセキュリティも同様です。暗号の世界全体が警戒を保つ必要があります。攻撃者は人気のあるツールを狙うのが好きです。どのプロジェクトがすでに影響を受けているかは完全には明らかではありませんが、おそらくかなりの数です。
セキュリティ侵害アラート
人気のあるnpmパッケージが攻撃を受けました。悪いニュースです。この攻撃はフィッシングを通じてqixを標的にし、現在chalk、strip-ansi、color-convertが侵害されています。これらのツール?ウェブ3プロジェクトの至るところにあります。
悪意のあるものはかなり狡猾に見えます。ウォレット機能にフックします。ETHとSOLのトランザクションの行き先を変更します。ネットワークレスポンス内のアドレスにも干渉します。
これはコードインジェクションのようです。無断のコードが正当なパッケージに忍び込みます。そして、それはあなたが知らないうちに何かをします。考えてみると、ちょっと怖いですね。これらのパッケージを使用すると、あなたのアプリは脆弱になります。
自分を守ることはそれほど複雑ではありません。取引を確認する前にアドレスをチェックしてください。アドレスを貼り付けた後に再度確認してください - 微妙な変更が重要です。取引履歴を注意深く見守ってください。大きな取引のためにハードウェアウォレットを取得するのも良いかもしれません。
入力検証は重要です。依存関係のセキュリティも同様です。暗号の世界全体が警戒を保つ必要があります。攻撃者は人気のあるツールを狙うのが好きです。どのプロジェクトがすでに影響を受けているかは完全には明らかではありませんが、おそらくかなりの数です。