Analyse de l'incident de vol d'actifs des utilisateurs de Solana dû à un paquet NPM malveillant dérobant la clé privée
Début juillet 2025, un incident de vol d'actifs ciblant les utilisateurs de Solana a attiré l'attention de l'équipe de sécurité. Une victime a découvert que ses actifs cryptographiques avaient été volés après avoir utilisé un projet open source hébergé sur GitHub. Après une enquête approfondie, l'équipe de sécurité a révélé une chaîne d'attaques soigneusement conçue.
Les attaquants se déguisent en projets open source légitimes pour inciter les utilisateurs à télécharger et exécuter un projet Node.js contenant du code malveillant. Ce projet nommé "solana-pumpfun-bot" semble populaire, avec un nombre élevé d'étoiles et de forks. Cependant, son historique de soumissions de code présente des motifs anormaux, manquant de caractéristiques de mises à jour continues.
Une analyse plus approfondie a révélé que le projet dépendait d'un package tiers suspect nommé "crypto-layout-utils". Ce package a été retiré par les autorités de NPM, mais les attaquants ont modifié le fichier package-lock.json pour remplacer le lien de téléchargement par l'adresse de leur propre dépôt GitHub, continuant ainsi à distribuer du code malveillant.
Après avoir analysé ce paquet malveillant hautement obscurci, l'équipe de sécurité a confirmé que sa fonction est de scanner les fichiers sensibles sur l'ordinateur de l'utilisateur, en particulier ceux liés aux portefeuilles cryptographiques et aux Clés privées. Une fois le fichier cible découvert, il sera téléchargé sur un serveur contrôlé par l'attaquant.
Les attaquants ont également adopté une stratégie de collaboration multi-comptes, en augmentant la crédibilité du projet et en élargissant la portée des victimes grâce à un grand nombre d'opérations Fork et Star. En plus de "crypto-layout-utils", un autre package malveillant nommé "bs58-encrypt-utils" a été découvert participant à cette attaque.
Utiliser des outils d'analyse on-chain pour suivre le flux de fonds volés, et découvrir que certaines fonds ont été transférés vers une certaine plateforme de trading.
Cet incident met en évidence les défis de sécurité auxquels la communauté open source est confrontée. Les attaquants ont exploité la confiance des utilisateurs dans les projets GitHub, combinant ingénierie sociale et techniques, pour mener une attaque complexe. Il est crucial pour les développeurs et les utilisateurs de rester vigilants lorsqu'ils traitent des projets impliquant des actifs cryptographiques. Il est recommandé de tester le code d'origine inconnue dans un environnement isolé et de toujours prêter attention à l'authenticité et à la crédibilité du projet.
Cet événement implique plusieurs dépôts GitHub malveillants et des paquets NPM. L'équipe de sécurité a dressé une liste d'informations pertinentes pour référence et prévention de la communauté. Ce type d'attaque est extrêmement insidieux et trompeur, nous rappelant d'être plus prudents lors de l'exploration de nouveaux projets, surtout lorsqu'il s'agit d'opérations sensibles.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
13 J'aime
Récompense
13
6
Partager
Commentaire
0/400
MidnightSeller
· Il y a 4h
La prochaine fois, regarde bien avant de t'attaquer aux pigeons.
Des paquets NPM malveillants volent les clés privées Solana, des projets open source cachent des pièges.
Analyse de l'incident de vol d'actifs des utilisateurs de Solana dû à un paquet NPM malveillant dérobant la clé privée
Début juillet 2025, un incident de vol d'actifs ciblant les utilisateurs de Solana a attiré l'attention de l'équipe de sécurité. Une victime a découvert que ses actifs cryptographiques avaient été volés après avoir utilisé un projet open source hébergé sur GitHub. Après une enquête approfondie, l'équipe de sécurité a révélé une chaîne d'attaques soigneusement conçue.
Les attaquants se déguisent en projets open source légitimes pour inciter les utilisateurs à télécharger et exécuter un projet Node.js contenant du code malveillant. Ce projet nommé "solana-pumpfun-bot" semble populaire, avec un nombre élevé d'étoiles et de forks. Cependant, son historique de soumissions de code présente des motifs anormaux, manquant de caractéristiques de mises à jour continues.
Une analyse plus approfondie a révélé que le projet dépendait d'un package tiers suspect nommé "crypto-layout-utils". Ce package a été retiré par les autorités de NPM, mais les attaquants ont modifié le fichier package-lock.json pour remplacer le lien de téléchargement par l'adresse de leur propre dépôt GitHub, continuant ainsi à distribuer du code malveillant.
Après avoir analysé ce paquet malveillant hautement obscurci, l'équipe de sécurité a confirmé que sa fonction est de scanner les fichiers sensibles sur l'ordinateur de l'utilisateur, en particulier ceux liés aux portefeuilles cryptographiques et aux Clés privées. Une fois le fichier cible découvert, il sera téléchargé sur un serveur contrôlé par l'attaquant.
Les attaquants ont également adopté une stratégie de collaboration multi-comptes, en augmentant la crédibilité du projet et en élargissant la portée des victimes grâce à un grand nombre d'opérations Fork et Star. En plus de "crypto-layout-utils", un autre package malveillant nommé "bs58-encrypt-utils" a été découvert participant à cette attaque.
Utiliser des outils d'analyse on-chain pour suivre le flux de fonds volés, et découvrir que certaines fonds ont été transférés vers une certaine plateforme de trading.
Cet incident met en évidence les défis de sécurité auxquels la communauté open source est confrontée. Les attaquants ont exploité la confiance des utilisateurs dans les projets GitHub, combinant ingénierie sociale et techniques, pour mener une attaque complexe. Il est crucial pour les développeurs et les utilisateurs de rester vigilants lorsqu'ils traitent des projets impliquant des actifs cryptographiques. Il est recommandé de tester le code d'origine inconnue dans un environnement isolé et de toujours prêter attention à l'authenticité et à la crédibilité du projet.
Cet événement implique plusieurs dépôts GitHub malveillants et des paquets NPM. L'équipe de sécurité a dressé une liste d'informations pertinentes pour référence et prévention de la communauté. Ce type d'attaque est extrêmement insidieux et trompeur, nous rappelant d'être plus prudents lors de l'exploration de nouveaux projets, surtout lorsqu'il s'agit d'opérations sensibles.