PANews 5月3日消息,據慢霧區情報反饋,近期有黑客團伙利用惡意的npm包進行投毒盜取助記詞和數字資產。受害者使用了opensea-wallet-provider` npm包,在使用助記詞的時候,惡意的包會將助記詞發送到攻擊者的服務器上,從而竊取受害者的助記詞。由於在npmjs.com 上傳npm 包不需要進行審核,並且包的基礎信息可以任意填寫,因此攻擊者可以構造惡意的npm 包,並偽造npm包的基礎信息混淆視聽,騙開發人員安裝惡意的包。建議排查代碼中是否有使用到該惡意的`opensea-wallet-provider` npm 包。如果發現已使用,應及時轉移資產並更換錢包助記詞。用戶還可以通過包的下載鏈接進行識別,一般開源的包會放在官方團隊維護的GitHub 倉庫中。