Купить криптовалюту
Оплатить в
USD
Купить и Продажа
HOT
Покупайте и продавайте криптовалюту через Apple Pay, карты, Google Pay, банковские переводы и т. д
P2P
0 Fees
Нулевые комиссии, более 400 способов оплаты и простая покупка и продажа криптовалюты
Gate Card
Криптовалютная платежная карта, обеспечивающая бесперебойные глобальные транзакции.
Торговля
Тип торговли
Спот
Торгуйте криптовалютой свободно
Alpha
Points
Получите перспективные токены в упрощенной ончейн-торговле
Премаркет
Торгуйте новыми токенами до их официального листинга
Маржа
Увеличьте свою прибыль с помощью кредитного плеча
Конвертация и блочная торговля
0 Fees
Торгуйте любым объемом без комиссий и проскальзываний
Токены с кредитным плечом
Получите простой доступ к позициям с кредитным плечом
Фьючерсы
Фьючерсы
Сотни контрактов, рассчитанных в USDT или BTC
Опционы
HOT
Торги опционами Vanilla в европейском стиле
Единый счет
Увеличьте эффективность вашего капитала
Демо-торговля
Начало фьючерсов
Подготовьтесь к торговле фьючерсами
Фьючерсные события
Участвуйте в мероприятиях и выигрывайте щедрые награды
Демо-торговля
Используйте виртуальные средства для торговли без риска
Earn
Запуск
CandyDrop
Собирайте конфеты, чтобы заработать аирдропы
Launchpool
Быстрый стейкинг, заработайте потенциальные новые токены
HODLer Airdrop
Удерживайте GT и получайте огромные аирдропы бесплатно
Launchpad
Будьте готовы к следующему крупному токен-проекту
Alpha Points
NEW
Торгуйте ончейн активами и получайте награды аирдропа!
Фьючерсные баллы
NEW
Зарабатывайте баллы и получайте награды аирдропа
Инвестиции
Simple Earn
Зарабатывайте проценты с помощью неиспользуемых токенов
Автоинвест.
Автоинвестиции на регулярной основе.
Бивалютные инвестиции
Покупайте дешево и продавайте дорого, чтобы получить прибыль от колебаний цен
Мягкий стейкинг
Получайте вознаграждения с помощью гибкого стейкинга
Криптозаймы
0 Fees
Заложите одну криптовалюту, чтобы занять другую
Центр кредитования
Единый центр кредитования
VIP-центр богатства
Настроенное вами управление капиталом способствует росту ваших активов
Управление частным капиталом
Индивидуальное управление активами для роста ваших цифровых активов
Количественный фонд
Лучшая команда по управлению активами поможет вам получить прибыль без лишних хлопот
Стейкинг
Делайте стейкинг криптовалюты, чтобы заработать на продуктах PoS
Стейкинг BTC
HOT
Стейкайте BTC и зарабатывайте 10% годовых
Минтинг GUSD
Используйте USDT/USDC чтобы минтить GUSD для доходности на уровне казначейских облигаций
Еще
- Популярные темыПодробнее
91.11K Популярность
35.15K Популярность
69.48K Популярность
103.1K Популярность
34.42K Популярность
- Горячее на Gate FunПодробнее
- РК:$3.51KДержатели:10.00%
- РК:$3.49KДержатели:10.00%
- РК:$3.61KДержатели:20.43%
- РК:$3.5KДержатели:10.00%
- РК:$3.5KДержатели:10.00%
- Закрепить
Анализ отравления NPM — Воссоздание атаки Shai-Hulud
Автор: Joker & Ccj
Фон
Недавно в сообществе NPM снова произошел крупномасштабный инцидент с отравлением пакетов NPM. Этот инцидент имеет высокую степень связи с атакой Shai-Hulud в сентябре 2025 года. Зловредный код в этом пакете NPM крадет ключи разработчиков, API-ключи и другие конфиденциальные данные, используя эти ключи для создания публичных репозиториев и загрузки украденной конфиденциальной информации.
慢雾(SlowMist) самостоятельно разработанный инструмент веб3 разведки угроз и динамического мониторинга безопасности MistEye в первую очередь реагирует, быстро отправляя соответствующую информацию об угрозах, обеспечивая клиентов ключевой безопасностью.
!
!
В то же время, бэкэнд сразу сохранит вредоносные образцы и вычислит их соответствующие значения характеристик, такие как SHA-256.
!
Анализ процесса
В качестве примера пакета @asyncapi/php-template@0.1.1, при сравнении со старой версией @asyncapi/php-template@0.1.0 можно заметить, что версия 0.1.1 добавила два js файла: setup_bun.js и запутанный bun_environment.js.
!
В package.json добавлен скрипт preinstall, который автоматически выполняет setup_bun.js перед установкой зависимостей.
!
В файле setup_bun.js сначала проверяется, установлен ли Bun в системе. Если он не установлен, Bun будет автоматически загружен и установлен с официального сайта, и переменные окружения будут правильно настроены, чтобы найти исполняемый файл Bun.
В конечном итоге используйте bun для выполнения файла bun_environment.js, который является сильно замаскированным вредоносным файлом.
!
После частичной деобфускации кода вредоносного скрипта становится понятно, что aL0() является основной входной функцией всего вредоносного скрипта. Можно примерно предположить, что этот вредоносный скрипт осуществляет кражу конфиденциальной информации, сначала проверяя среду выполнения на наличие учетных данных NPM или GitHub. Если эти учетные данные обнаружены, он использует учетные данные NPM для распространения через цепочку поставок, и вся собранная системная информация и конфиденциальные данные в конечном итоге будут упакованы и загружены в репозиторий GitHub, контролируемый злоумышленником, для дальнейшего использования.
Кража учетных данных
AWS: Этот вредоносный скрипт реализует методы runSecrets() и listAndRetrieveAllSecrets(). Метод runSecrets() будет просматривать все доступные облачные учетные данные и все возможные регионы, максимизируя диапазон сканирования; в то время как listAndRetrieveAllSecrets() проводит “глубокую разведку” в рамках заданных учетных данных и региона, перебирая все Secrets и получая их последние открытые содержимое. В сочетании они позволяют злоумышленнику экспортировать все доступные SecretString и SecretBinary из учетной записи жертвы AWS за один раз.
!
Метод enumerateValidCredentials() в основном используется для полного сбора всех доступных ключей облачного сервиса. Он пробует поочередно различные источники, такие как переменные окружения, конфигурационные файлы, авторизация через CLI и т.д. Все учетные данные, которые успешно проходят проверку, будут зафиксированы для последующего использования при кражах облачных конфиденциальных данных.
!
GCP: Другой метод listAndRetrieveAllSecrets(), реализованный в этом вредоносном скрипте, в основном направлен на модуль GCP. Сначала он перечисляет все секреты в указанном проекте GCP по заданному идентификатору проекта, затем напрямую находит последнюю версию каждого секрета и вызывает accessSecretVersion для чтения его открытого содержимого. В конечном итоге все полученные секреты (такие как API Key, пароли к базам данных и т.д.) собираются по одному.
!
Azure: Другой метод listAndRetrieveAllSecrets(), реализованный в этом вредоносном скрипте, в основном нацелен на модуль Azure. Сначала он сканирует всю подписку через Azure Resource Manager, чтобы найти все Key Vault; затем, используя полученные учетные данные, поочередно подключается к каждому Vault; наконец, перечисляет все Secrets и вызывает getSecret для получения открытого значения каждого секрета.
!
В реализации кражи конфиденциальной информации также используются законные инструменты безопасности для атаки на жертву. В методе extractAndInstall() происходит распаковка и извлечение бинарных файлов TruffleHog, который изначально предназначен для обнаружения и проверки утечек конфиденциальной информации, таких как API-ключи и учетные данные, но использовался злоумышленниками для сканирования всей файловой системы жертвы.
!
НПМ цепочка поставок
Этот вредоносный скрипт реализует функцию updatePackage() для распространения через цепочку поставок NPM. Сначала с помощью украденного NPM Token загружается исходный код легального NPM пакета, на который у жертвы есть права на публикацию, затем модифицируется файл package.json, в поле scripts вставляется вредоносная команда скрипта preinstall. Одновременно вредоносный скрипт помещается в пакет, автоматически увеличивается номер версии пакета на 1, чтобы инициировать автоматическое обновление пользователя, а NPM пакет с вредоносным скриптом отправляется в официальный репозиторий NPM.
!
Задняя дверь и C2
После кражи информации злоумышленник использует украденный токен GitHub для создания репозитория с произвольным именем под своим аккаунтом и получает токен регистрации, маскируя компьютер жертвы под самоуправляемый GitHub Actions Runner этого репозитория. Затем злоумышленник внедряет вредоносный рабочий процесс в репозиторий, что приводит к тому, что любые запущенные действия будут выполняться на машине жертвы, что позволяет осуществлять удаленное выполнение кода.
!
И загрузить эту украденную информацию, дважды закодированную в base64, в созданный репозиторий, описания которого все “Sha1-Hulud: The Second Coming.”.
!
После декодирования можно увидеть утечку конфиденциальных данных пользователя.
!
!
!
Итог
Недавняя атака на репозиторий NPM сочетала в себе червя и долгосрочную устойчивость самоуправляемых программ, используя TruffleHog для атаки. Команда безопасности Slow Fog рекомендует разработчикам применять стратегию блокировки версий зависимостей при создании и выпуске новых итераций. Если у зависимостей есть необходимые обновления безопасности или функционала, их следует обновлять через строгий внутренний процесс аудита безопасности и синхронно обновлять зафиксированные версии, чтобы избежать слепого обновления, которое может привести к новым рискам.