Análisis del incidente de robo de activos de usuarios de Solana debido a un paquete NPM malicioso que roba la llave privada
A principios de julio de 2025, un incidente de robo de activos dirigido a usuarios de Solana llamó la atención del equipo de seguridad. Una víctima, tras utilizar un proyecto de código abierto alojado en GitHub, descubrió que sus activos criptográficos habían sido robados. Después de una investigación exhaustiva, el equipo de seguridad reveló una cadena de ataque cuidadosamente diseñada.
Los atacantes se hacen pasar por proyectos de código abierto legítimos, engañando a los usuarios para que descarguen y ejecuten un proyecto de Node.js que contiene código malicioso. Este proyecto llamado "solana-pumpfun-bot" parece ser muy popular a simple vista, con un alto número de Stars y Forks. Sin embargo, su historial de commits de código muestra patrones anormales, careciendo de características de actualización continua.
Un análisis adicional reveló que el proyecto dependía de un paquete de terceros sospechoso llamado "crypto-layout-utils". Este paquete ha sido retirado oficialmente por NPM, pero los atacantes modificaron el archivo package-lock.json, reemplazando el enlace de descarga por la dirección de un repositorio de GitHub que controlan, y continúan distribuyendo código malicioso.
Después de analizar este paquete malicioso altamente ofuscado, el equipo de seguridad confirmó que su función es escanear archivos sensibles en la computadora del usuario, especialmente aquellos relacionados con billeteras criptográficas y Llave privada. Una vez que se encuentran los archivos objetivo, se subirán a un servidor controlado por el atacante.
Los atacantes también adoptaron la estrategia de colaboración de múltiples cuentas, aumentando la credibilidad del proyecto y ampliando el alcance de las víctimas a través de numerosas operaciones de Fork y Star. Además de "crypto-layout-utils", se descubrió otro paquete malicioso llamado "bs58-encrypt-utils" que participó en este ataque.
Utilizar herramientas de análisis en cadena para rastrear el flujo de fondos robados, y descubrir que parte de los fondos se transfirieron a una plataforma de intercambio.
Este incidente destaca los desafíos de seguridad que enfrenta la comunidad de código abierto. Los atacantes aprovecharon la confianza de los usuarios en los proyectos de GitHub, combinando ingeniería social y técnicas tecnológicas para llevar a cabo un ataque complejo. Para los desarrolladores y usuarios, es crucial mantener una alta vigilancia al tratar con proyectos relacionados con activos criptográficos. Se recomienda probar el código de origen desconocido en un entorno aislado y estar siempre atento a la autenticidad y credibilidad del proyecto.
Este evento involucra múltiples repositorios maliciosos de GitHub y paquetes de NPM. El equipo de seguridad ha enumerado la información relevante para la referencia y prevención de la comunidad. Este tipo de ataque es muy sigiloso y engañoso, lo que nos recuerda que debemos ser más cautelosos al explorar nuevos proyectos, especialmente cuando se trata de operaciones sensibles.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
13 me gusta
Recompensa
13
7
Compartir
Comentar
0/400
0xTherapist
· hace4h
Otra vez un tonto ha hecho alquimia.
Ver originalesResponder0
MidnightSeller
· hace9h
La próxima vez mira bien antes de raspar tontos.
Ver originalesResponder0
MysteriousZhang
· hace18h
Otra vez han tomado a la gente por tonta.
Ver originalesResponder0
OnChainSleuth
· hace18h
Triste y Ser engañados
Ver originalesResponder0
TaxEvader
· hace18h
Otra ronda de la vieja trampa
Ver originalesResponder0
TerraNeverForget
· hace18h
Los tontos todavía son tiernos.
Ver originalesResponder0
SignatureCollector
· hace18h
¡Los que no tienen cuidado han caído en la trampa otra vez!
Paquete NPM malicioso roba la llave privada de Solana, proyecto de código abierto esconde un arrecife.
Análisis del incidente de robo de activos de usuarios de Solana debido a un paquete NPM malicioso que roba la llave privada
A principios de julio de 2025, un incidente de robo de activos dirigido a usuarios de Solana llamó la atención del equipo de seguridad. Una víctima, tras utilizar un proyecto de código abierto alojado en GitHub, descubrió que sus activos criptográficos habían sido robados. Después de una investigación exhaustiva, el equipo de seguridad reveló una cadena de ataque cuidadosamente diseñada.
Los atacantes se hacen pasar por proyectos de código abierto legítimos, engañando a los usuarios para que descarguen y ejecuten un proyecto de Node.js que contiene código malicioso. Este proyecto llamado "solana-pumpfun-bot" parece ser muy popular a simple vista, con un alto número de Stars y Forks. Sin embargo, su historial de commits de código muestra patrones anormales, careciendo de características de actualización continua.
Un análisis adicional reveló que el proyecto dependía de un paquete de terceros sospechoso llamado "crypto-layout-utils". Este paquete ha sido retirado oficialmente por NPM, pero los atacantes modificaron el archivo package-lock.json, reemplazando el enlace de descarga por la dirección de un repositorio de GitHub que controlan, y continúan distribuyendo código malicioso.
Después de analizar este paquete malicioso altamente ofuscado, el equipo de seguridad confirmó que su función es escanear archivos sensibles en la computadora del usuario, especialmente aquellos relacionados con billeteras criptográficas y Llave privada. Una vez que se encuentran los archivos objetivo, se subirán a un servidor controlado por el atacante.
Los atacantes también adoptaron la estrategia de colaboración de múltiples cuentas, aumentando la credibilidad del proyecto y ampliando el alcance de las víctimas a través de numerosas operaciones de Fork y Star. Además de "crypto-layout-utils", se descubrió otro paquete malicioso llamado "bs58-encrypt-utils" que participó en este ataque.
Utilizar herramientas de análisis en cadena para rastrear el flujo de fondos robados, y descubrir que parte de los fondos se transfirieron a una plataforma de intercambio.
Este incidente destaca los desafíos de seguridad que enfrenta la comunidad de código abierto. Los atacantes aprovecharon la confianza de los usuarios en los proyectos de GitHub, combinando ingeniería social y técnicas tecnológicas para llevar a cabo un ataque complejo. Para los desarrolladores y usuarios, es crucial mantener una alta vigilancia al tratar con proyectos relacionados con activos criptográficos. Se recomienda probar el código de origen desconocido en un entorno aislado y estar siempre atento a la autenticidad y credibilidad del proyecto.
Este evento involucra múltiples repositorios maliciosos de GitHub y paquetes de NPM. El equipo de seguridad ha enumerado la información relevante para la referencia y prevención de la comunidad. Este tipo de ataque es muy sigiloso y engañoso, lo que nos recuerda que debemos ser más cautelosos al explorar nuevos proyectos, especialmente cuando se trata de operaciones sensibles.