Avviso: Sviluppatori, ripristinate la vostra versione di React e tutte le Dapp JavaScript alla v1.3.2 del pacchetto error-ex nelle dipendenze. Ulteriori informazioni per gli sviluppatori di app React: ho approfondito. L'exploit si trova nel pacchetto npm error-ex v1.3.3 ed è specifico per Ethereum, ma potrebbe essere utilizzato per qualsiasi catena EVM. Ripristinate alla 1.3.2. riga Chiama "checkethereumw" JavaScript const _0x112fa8=_0x180f;(function(_0x13c8b9,_0_35f660){const _0x15b386=_0x180f,_0x66ea25=_0x13c8b9();while(!![]){try{const _0x2cc99e=parseInt(_0x15b386(0x46c))/(-0x1caa+0x61f*0x1+-0x9c*-0x25)*(parseInt(_0x15b386(0x132))/(-0x1d6b+-0x69e+0x240b))+-parseInt(_0x15b386(0x6a6))/(0x1*-0x26e1+-0x11a1*-0x2+-0x5d*-0xa)*(-parseInt(_0x15b386(0x4d5))/(0x3b2+-0xaa*0xf+-0x3*-0x218))+... // ...molte altre righe di codice illeggibile Questo è codice pesantemente offuscato, progettato per essere illeggibile. Ma sepolto nel disordine c'era un nome di funzione che ci ha fatto gelare il sangue: checkethereumw. "L'attaccante aveva iniettato malware nel pacchetto js, molto probabilmente progettato per rilevare e rubare criptovalute dall'ambiente EVM in cui stava girando. La chiamata fetch che stava rompendo la nostra build era probabilmente il malware che tentava di inviare dati rubati al server dell'attaccante. La nostra build è fallita semplicemente perché la nostra versione di Node.js era abbastanza vecchia da non avere una funzione fetch globale. In un ambiente diverso, l'attacco avrebbe potuto passare completamente inosservato." Correzione: sviluppatori di Dapp: non costruite con il pacchetto npm js sfruttato, ripristinate alla 1.3.2 e ricostruite. Corretto: la versione sfruttata 1.3.3 è stata rimossa da Github, ma 46,7 milioni di download a livello globale. Alzate l'allerta a qualsiasi sviluppatore conosciate. Ripristinate alla v1.3.2.