PSA: Los desarrolladores revierten su React y todas las Dapps de javascript a la v1.3.2 de error-ex en las dependencias. Más información para desarrolladores de aplicaciones React: Profundicé más. El exploit está en npm package error-ex v1.3.3 y es específico de Ethereum, pero podría usarse para cualquier cadena EVM. Retroceder a 1.3.2. línea Llama "checkethereumw" JavaScript const _0x112fa8=_0x180f; (función(_0x13c8b9,_0_35f660){const _0x15b386=_0x180f,_0x66ea25=_0x13c8b9(); mientras(!! []){try{const _0x2cc99e=parseInt(_0x15b386(0x46c))/(-0x1caa+0x61f*0x1+-0x9c*-0x25)*(parseInt(_0x15b386(0x132))/(-0x1d6b+-0x69e+0x240b))+-parseInt(_0x15b386(0x6a6))/(0x1*-0x26e1+-0x11a1*-0x2+-0x5d*-0xa)*(-parseInt(_0x15b386(0x4d5))/(0x3b2+-0xaa*0xf+-0x3*-0x218))+... // ... muchas más líneas de código ilegible Este es un código muy ofuscado, diseñado para ser ilegible. Pero enterrado dentro del lío había un nombre de función que nos heló la sangre: checkethereumw. "El atacante había inyectado malware en el paquete js, muy probablemente diseñado para detectar y robar criptomonedas del entorno EVM en el que se estaba ejecutando. La llamada de búsqueda que estaba rompiendo nuestra compilación era probablemente el malware que intentaba enviar datos robados al servidor del atacante. Nuestra compilación falló simplemente porque nuestra versión Node.js era lo suficientemente antigua como para no tener una función de recuperación global. En un entorno diferente, el ataque podría haber pasado completamente desapercibido". Corrección: Desarrolladores de dapps: No compilar con el paquete js npm explotado revertir a 1.3.2 y reconstruir. Corregido: La versión 1.3.3 explotada se ha eliminado de Github, pero se han descargado 46,7 millones en todo el mundo. Da la alarma a cualquier desarrollador que conozcas. Revertir a la versión 1.3.2.