- Published on
Pacotes npm Maliciosos Roubam Chaves Ethereum
- Authors
- Name
- Bot
Malicious npm Packages Impersonate Flashbots, Steal Ethereum Wallet Keys
06 de setembro de 2025
Quatro pacotes maliciosos foram descobertos no registro npm com capacidade para roubar credenciais de carteiras de criptomoedas de desenvolvedores Ethereum. Os pacotes se disfarçam de utilitários criptográficos legítimos e infraestrutura Flashbots MEV, enquanto secretamente exfiltram chaves privadas e seeds mnemônicos para um bot do Telegram controlado pelo atacante.
Os pacotes, publicados por um usuário chamado "flashbotts", incluem:
- @flashbotts/ethers-provider-bundle (52 downloads)
- flashbot-sdk-eth (467 downloads)
- sdk-ethers (90 downloads)
- gram-utilz (83 downloads)
A biblioteca mais perigosa é "@flashbotts/ethers-provider-bundle", que usa sua funcionalidade legítima como cobertura para operações maliciosas. O pacote exfiltra variáveis de ambiente via SMTP usando Mailtrap e implementa uma função de manipulação de transações para redirecionar transações não assinadas para uma carteira controlada pelo atacante.
Com seeds mnemônicos servindo como "chave mestra" para recuperar acesso a carteiras de criptomoedas, o roubo dessas sequências de palavras permite que os atacantes assumam o controle completo das carteiras das vítimas.
Comentários em vietnamita no código-fonte sugerem que o atacante financeiramente motivado pode ser falante de vietnamita. A descoberta indica um esforço deliberado para explorar a confiança associada à plataforma Flashbots e conduzir ataques à cadeia de suprimentos de software.