恶意 npm 软件包冒充 Flashbot，窃取以太坊钱包密钥

在 npm 软件包注册表中发现了一组新的四个恶意软件包，它们能够从以太坊开发人员那里窃取加密货币钱包凭证。

Socket 研究员 Kush Pandya在分析中表示： “这些软件包伪装成合法的加密实用程序和Flashbots MEV基础设施，同时秘密地将私钥和助记符种子泄露给威胁行为者控制的 Telegram 机器人。”

审计及其他
这些软件包是由名为“ flashbotts ”的用户上传到 npm 的，最早的库上传于 2023 年 9 月。最近一次上传是在 2025 年 8 月 19 日。截至撰写本文时，所有相关软件包仍可下载，列表如下 -

@flashbotts/ethers-provider-bundle（52 次下载）
flashbot-sdk-eth（467 次下载）
sdk-ethers（90 次下载）
gram-utilz（83 次下载）
模仿Flashbots并非偶然，因为它在对抗最大可提取值 ( MEV ) 对以太坊网络的不利影响（例如三明治攻击、清算攻击、回购攻击、抢先交易攻击和时间盗贼攻击）中发挥着作用。

在已识别的库中，最危险的是“@flashbotts/ethers-provider-bundle”，它利用其功能掩护来隐藏恶意操作。该软件包以提供完全兼容 Flashbots API 为幌子，集成了隐秘功能，可使用 Mailtrap 通过 SMTP 窃取环境变量。

此外，npm 包实现了交易操作功能，将所有未签名的交易重定向到攻击者控制的钱包地址，并记录预签名交易的元数据。

每个 Socket 的 sdk-ethers 基本上是无害的，但包含两个功能，用于将助记符种子短语传输到 Telegram 机器人，只有当不知情的开发人员在自己的项目中调用它们时才会激活。

第二个模拟 Flashbot 的软件包 flashbot-sdk-eth 也被设计用于触发私钥盗窃，而 gram-utilz 则提供了一种模块化机制，可以将任意数据泄露到威胁行为者的 Telegram 聊天中。

助记词种子短语是恢复加密货币钱包访问权限的“主密钥”，窃取这些单词序列可以让威胁行为者闯入受害者的钱包并完全控制他们的钱包。

源代码中存在越南语注释，表明以经济为目的的威胁行为者可能会说越南语。

CIS 构建套件
调查结果表明，攻击者故意利用与平台相关的信任来发动软件供应链攻击，更不用说在大多数无害的代码中掩盖恶意功能以逃避审查。

Pandya 指出：“由于 Flashbots 受到验证者、搜索者和 DeFi 开发者的广泛信任，任何看似官方 SDK 的软件包都很有可能被运行交易机器人或管理热钱包的运营商采用。在这种环境下，私钥泄露可能导致资金立即被盗，且不可逆转。”

“通过利用开发人员对熟悉的软件包名称的信任，并使用合法实用程序填充恶意代码，这些软件包将常规的 Web3 开发变成了威胁行为者控制的 Telegram 机器人的直接管道。”