Pangunahing Tala
- Malisyosong code ang na-inject sa mga @ensdomains packages sa pagitan ng Nov 21-23 na tumarget sa mga developer credentials sa GitHub, npm, at cloud services.
- Kumalat ang pag-atake sa pamamagitan ng mga compromised maintainer accounts, na awtomatikong naisasagawa habang nag-i-install gamit ang karaniwang mga utos.
- Kabilang sa mga apektadong packages ang gate-evm-check-code2, create-hardhat3-app, ethereum-ens, at higit sa 40 libraries sa ilalim ng @ensdomains scope.
Ang mga software package ng Ethereum Name Service ENS $11.61 24h volatility: 4.0% Market cap: $439.48 M Vol. 24h: $72.23 M ay na-kompromiso sa isang supply chain cyberattack na nakaapekto sa mahigit 400 code libraries sa npm, isang platform kung saan nagbabahagi at nagda-download ng mga software tool ang mga developer. Ayon sa ENS Labs, tila hindi naapektuhan ang mga asset ng user at mga domain name.
Nadiskubre ng team na ang mga packages na nagsisimula sa @ensdomains ay naapektuhan bandang 5:49 a.m. UTC noong Nov. 24 at mula noon ay na-update na ang mga bersyon ng package habang pinapalitan ang mga security credentials, ayon sa ENS Labs. Ang mga website na pinapatakbo ng ENS kabilang ang app.ens.domains ay walang nakitang epekto.
Nakilala namin na ang ilang npm packages na nagsisimula sa @ensdomains na nailathala bandang 5:49am UTC ngayon ay maaaring naapektuhan ng isang Sha1-Hulud supply-chain attack na nag-kompromiso sa mahigit 400 NPM libraries, kabilang ang ilang ENS packages.
Na-update na ng team ang lahat ng latest tags at...
— ens.eth (@ensdomains) November 24, 2025
Ayon sa Aikido Security, na unang nakadiskubre ng kampanya noong Nov. 24, naapektuhan din ng pag-atake ang mga packages mula sa Zapier, PostHog, Postman at AsyncAPI.
Mga Crypto Package Kabilang sa mga Biktima
Maraming blockchain development libraries ang nadamay sa malawakang pag-atake. Kabilang sa mga apektadong packages ang gate-evm-check-code2 at evm-checkcode-cli na ginagamit para sa smart contract bytecode verification, create-hardhat3-app para sa Ethereum ETH $2 964 24h volatility: 4.8% Market cap: $357.84 B Vol. 24h: $32.76 B project scaffolding, at coinmarketcap-api para sa price data integration.
Kabilang din sa mga apektadong crypto libraries ang ethereum-ens at crypto-addr-codec, na humahawak sa cryptocurrency address encoding. Mahigit 40 packages sa ilalim ng @ensdomains scope ang na-kompromiso.
Ang insidente ay kahalintulad ng backdoor na natuklasan sa XRP Ledger packages noong Abril, kung saan na-inject ang malisyosong code sa xrpl.js upang magnakaw ng mga private key.
Paano Gumagana ang Pag-atake
Na-upload ang mga malisyosong package sa npm sa pagitan ng Nov. 21-23. Kumakalat ang malware sa pamamagitan ng pag-kompromiso sa mga maintainer account at pag-inject ng code sa kanilang mga package. Awtomatikong naisasagawa ito kapag nagpatakbo ang mga developer ng karaniwang installation commands.
Kinokolekta ng malware ang mga password ng developer at access tokens mula sa GitHub, npm at mga pangunahing cloud service. Ipinapaskil nito ang mga nakaw na data sa mga pampublikong GitHub repositories at lumilikha ng mga nakatagong access point sa mga infected na makina para sa mga susunod pang pag-atake.
Ipinapakita ng isang paghahanap sa GitHub na 26,300 repositories na ngayon ang naglalaman ng mga nakaw na credentials, na kumalat sa humigit-kumulang 350 na-kompromisong account. Patuloy na tumataas ang bilang habang aktibo pa ang pag-atake.
Nadiskubre ng mga mananaliksik mula sa Koi Security ang karagdagang banta. Kung hindi makakakuha ng credentials o makakapagpadala ng data palabas ang malware, binubura nito ang lahat ng files sa home directory ng user.
Tugon ng mga Developer
Inihayag ng ENS Labs na ang mga developer na hindi nag-install ng ENS packages sa loob ng 11 oras mula 5:49 a.m. UTC detection ay malamang na hindi naapektuhan. Ang mga nag-install sa panahong iyon ay dapat burahin ang kanilang node_modules folders, i-clear ang npm cache at palitan ang lahat ng credentials.
Ang insidente ay kasunod ng sunod-sunod na crypto security breaches na sumubok sa mga infrastructure project ngayong taon. Aktibong tinatanggal ng GitHub ang mga repository na ginawa ng attacker, bagaman patuloy na lumilitaw ang mga bago.
next
