根據安全公司 SlowMist,7 月 1 日,研究人員識別出一場協調的 npm 供應鏈攻擊,涉及 30 個惡意套件,偽裝成交易機器人儲存庫和 DeFi 工具。該攻擊目標為 npm 使用者、DeFi 開發者和交易機器人使用者。其中一個套件 stake-math@3.5.4,出現在一個儲存庫的鎖定依賴中,該儲存庫產生了約 2,300 個幾乎相同的複製版本,主要來自 poly-stocks 帳號。
這些惡意套件能夠從原始碼中竊取錢包庫、瀏覽器 cookies、儲存密碼、瀏覽記錄、開發者憑證、shell 歷史記錄、密碼管理器資料庫、私鑰、助記詞和 API 令牌。SlowMist 建議開發者立即移除受影響的套件,並輪換所有暴露的憑證和金鑰。