微软警告称,攻击者将窃取加密货币的恶意软件隐藏在公共 npm 软件包中,为开发人员、加密货币投资者和钱包用户带来了新的风险。
- 微软表示,npm 软件包部署了 RAT 恶意软件,可以悄悄地从设备中窃取加密钱包凭据。
- 攻击者使用 Hugging Face 存储库移动被盗数据,同时避开可疑的服务器流量日志。
- Crypto.news 报道将 Microsoft 的警告与针对开发者和加密钱包工具的更广泛的供应链攻击联系起来。
Microsoft 标记中毒的 npm 软件包
Microsoft Threat Intelligence 表示有两个受感染的 npm 软件包:[email protected] 和 [电子邮件受保护],“滥用 Hugging Face 存储库作为渗透基础设施”。该公司表示,这些软件包部署了远程访问木马(RAT),可以收集击键、屏幕截图和加密钱包凭据。
Compromised npm packages ([email protected], [email protected]) are abusing Hugging Face repos as exfiltration infrastructure. The packages deploy a remote access trojan (RAT) that captures keystrokes, screenshots, and crypto wallet credentials.
— Microsoft Threat Intelligence (@MsftSecIntel) June 3, 2026
Indicators of compromise… pic.twitter.com/e3kzcStZUg
Npm 是 JavaScript 开发人员用来构建应用程序和 Web 工具的公共软件注册表。当开发人员安装中毒软件包时,恶意软件可以在设备上悄悄运行并监视敏感文件、密码或钱包数据。
拥抱人脸路线会增加检测风险
该活动之所以引人注目,是因为攻击者使用 Hugging Face(人工智能和机器学习项目的可信平台)来移动被盗数据。与直接链接到未知犯罪服务器相比,该路由可以使流量看起来不那么可疑。
对于加密用户来说,这会产生直接的安全问题。开发者机器可以存储浏览器钱包、私钥、助记词文件、交换 API 密钥、GitHub 令牌和云登录信息。如果攻击者收集这些详细信息,他们就可以瞄准钱包、代码存储库和交易系统。
更广泛的开发者攻击
相关 crypto.news 报道显示,软件供应链攻击仍然是加密行业面临的一个现实问题。 5 月 25 日的一份报告称 TrapDoor 恶意软件活动通过 npm、PyPI 和 Rust 生态系统中的超过 34 个恶意软件包进行传播。
该活动针对加密货币和人工智能开发人员,通过虚假开发人员工具窃取钱包数据、API 密钥、云凭证和 SSH 访问权限。它还展示了攻击者现在如何针对用于构建加密应用程序的人员和系统,而不仅仅是最终用户。
Crypto.news 还在 3 月份报道,Slow Fog 已就恶意 Axios 版本向开发者发出警告。中毒版本引入了 plain-crypto-js 恶意软件,并使加密开发人员暴露于跨平台 RAT 和通过 npm 窃取的凭证。
加密劫持增加了另一个 Microsoft 警报
微软的警告是在其安全团队发布另一份恶意软件报告之后发出的。 5 月 26 日,微软表示,攻击者利用中毒的搜索结果和一些人工智能聊天机器人交互来传播安装 GPU 挖掘恶意软件的虚假 PC 实用程序下载。
该活动针对拥有强大显卡的用户,包括游戏玩家和硬件爱好者。微软表示,该恶意软件滥用 ScreenConnect、Microsoft .NET 实用程序以及 CrystalDiskInfo 和 HWMonitor 等工具的虚假下载来运行加密货币挖矿程序。
最新的 npm 警告持续关注基本的安全步骤。开发人员应审核最近的软件包安装、删除可疑的依赖项、轮换暴露的凭据并检查钱包活动。加密货币用户应避免在连接的设备上存储助记词,并在签名前验证每笔钱包交易。