安全公司：黑客團伙利用惡意的npm包盜取助記詞和數字資產，請注意審查

據慢霧區情報反饋，近期有黑客團伙利用惡意的npm包進行投毒盜取助記詞和數字資產。受害者使用了`opensea-wallet-provider` npm包在使用助記詞的時候，惡意的包會將助記詞發送到攻擊者的服務器上，從而竊取受害者的助記詞。由于在npmjs.com上傳npm包不需要進行審核，并且包的基礎信息可以任意填寫，因此攻擊者可以構造惡意的npm包，并偽造npm包的基礎信息混淆視聽，騙開發人員安裝惡意的包。建議排查代碼中是否有使用到該惡意的`opensea-wallet-provider` npm包。如果有使用到注意及時轉移資產并更換錢包助記詞。在日常安裝使用npm包的時候要注意審查包的可靠性和真實性，可以通過查看包的下載量進行輔助分析，還可以通過包的下載鏈接進行識別，一般開源的包會放在官方團隊維護的GitHub倉庫中。