Análise do incidente de roubo de ativos de usuários Solana devido a pacotes NPM maliciosos que roubaram Chave privada
No início de julho de 2025, um incidente de roubo de ativos dirigido a usuários da Solana chamou a atenção da equipe de segurança. Uma vítima descobriu que seus ativos criptográficos foram roubados após usar um projeto de código aberto hospedado no GitHub. Após uma investigação aprofundada, a equipe de segurança revelou uma cadeia de ataque cuidadosamente elaborada.
Os atacantes se disfarçam como projetos de código aberto legítimos, induzindo os usuários a baixar e executar projetos Node.js que contêm código malicioso. Este projeto chamado "solana-pumpfun-bot" parece ser muito popular à primeira vista, com um número elevado de Stars e Forks. No entanto, seu histórico de commits de código revela padrões anormais, carecendo de características de atualizações contínuas.
Uma análise mais aprofundada revelou que o projeto dependia de um pacote de terceiros suspeito chamado "crypto-layout-utils". Este pacote foi removido oficialmente do NPM, mas os atacantes, ao modificar o arquivo package-lock.json, substituíram o link de download pelo endereço do repositório GitHub que controlavam, continuando a distribuir código malicioso.
Após a análise deste pacote malicioso altamente ofuscado, a equipe de segurança confirmou que sua função é escanear arquivos sensíveis no computador do usuário, especialmente aqueles relacionados a carteiras de criptomoedas e Chave privada. Assim que um arquivo-alvo é encontrado, ele é enviado para um servidor controlado pelo atacante.
Os atacantes também adotaram a estratégia de colaboração com múltiplas contas, aumentando a credibilidade do projeto e expandindo o alcance das vítimas por meio de uma grande quantidade de operações Fork e Star. Além de "crypto-layout-utils", foi descoberto outro pacote malicioso chamado "bs58-encrypt-utils" envolvido neste ataque.
Usar ferramentas de análise on-chain para rastrear o fluxo de fundos roubados, descobrindo que parte dos fundos foi transferida para uma determinada plataforma de negociação.
Este incidente destaca os desafios de segurança enfrentados pela comunidade de código aberto. Os atacantes aproveitaram a confiança dos usuários nos projetos do GitHub, combinando engenharia social e técnicas tecnológicas, para realizar um ataque complexo. Para desenvolvedores e usuários, é crucial manter uma vigilância elevada ao lidar com projetos que envolvem ativos criptográficos. Recomenda-se testar códigos de fontes desconhecidas em um ambiente isolado e estar sempre atento à autenticidade e à credibilidade do projeto.
Este incidente envolve vários repositórios GitHub maliciosos e pacotes NPM, a equipe de segurança listou informações relevantes para referência e prevenção da comunidade. A natureza oculta e enganadora desse tipo de ataque é extremamente forte, lembrando-nos que precisamos ser mais cautelosos ao explorar novos projetos, especialmente quando se trata de operações sensíveis.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
13 gostos
Recompensa
13
7
Partilhar
Comentar
0/400
0xTherapist
· 11h atrás
又一idiotas炼金了
Ver originalResponder0
MidnightSeller
· 15h atrás
Da próxima vez, veja com atenção antes de enganar os idiotas.
Ver originalResponder0
MysteriousZhang
· 07-27 06:49
Ser enganado por idiotas lah
Ver originalResponder0
OnChainSleuth
· 07-27 06:47
Triste, ser enganado por idiotas
Ver originalResponder0
TaxEvader
· 07-27 06:45
Mais uma roda da velha armadilha
Ver originalResponder0
TerraNeverForget
· 07-27 06:42
Os idiotas ainda são jovens.
Ver originalResponder0
SignatureCollector
· 07-27 06:29
Não viu o que estava a acontecer e acabou por ser apanhado~
Pacotes NPM maliciosos roubam Chaves privadas Solana Projetos de código aberto escondem recifes
Análise do incidente de roubo de ativos de usuários Solana devido a pacotes NPM maliciosos que roubaram Chave privada
No início de julho de 2025, um incidente de roubo de ativos dirigido a usuários da Solana chamou a atenção da equipe de segurança. Uma vítima descobriu que seus ativos criptográficos foram roubados após usar um projeto de código aberto hospedado no GitHub. Após uma investigação aprofundada, a equipe de segurança revelou uma cadeia de ataque cuidadosamente elaborada.
Os atacantes se disfarçam como projetos de código aberto legítimos, induzindo os usuários a baixar e executar projetos Node.js que contêm código malicioso. Este projeto chamado "solana-pumpfun-bot" parece ser muito popular à primeira vista, com um número elevado de Stars e Forks. No entanto, seu histórico de commits de código revela padrões anormais, carecendo de características de atualizações contínuas.
Uma análise mais aprofundada revelou que o projeto dependia de um pacote de terceiros suspeito chamado "crypto-layout-utils". Este pacote foi removido oficialmente do NPM, mas os atacantes, ao modificar o arquivo package-lock.json, substituíram o link de download pelo endereço do repositório GitHub que controlavam, continuando a distribuir código malicioso.
Após a análise deste pacote malicioso altamente ofuscado, a equipe de segurança confirmou que sua função é escanear arquivos sensíveis no computador do usuário, especialmente aqueles relacionados a carteiras de criptomoedas e Chave privada. Assim que um arquivo-alvo é encontrado, ele é enviado para um servidor controlado pelo atacante.
Os atacantes também adotaram a estratégia de colaboração com múltiplas contas, aumentando a credibilidade do projeto e expandindo o alcance das vítimas por meio de uma grande quantidade de operações Fork e Star. Além de "crypto-layout-utils", foi descoberto outro pacote malicioso chamado "bs58-encrypt-utils" envolvido neste ataque.
Usar ferramentas de análise on-chain para rastrear o fluxo de fundos roubados, descobrindo que parte dos fundos foi transferida para uma determinada plataforma de negociação.
Este incidente destaca os desafios de segurança enfrentados pela comunidade de código aberto. Os atacantes aproveitaram a confiança dos usuários nos projetos do GitHub, combinando engenharia social e técnicas tecnológicas, para realizar um ataque complexo. Para desenvolvedores e usuários, é crucial manter uma vigilância elevada ao lidar com projetos que envolvem ativos criptográficos. Recomenda-se testar códigos de fontes desconhecidas em um ambiente isolado e estar sempre atento à autenticidade e à credibilidade do projeto.
Este incidente envolve vários repositórios GitHub maliciosos e pacotes NPM, a equipe de segurança listou informações relevantes para referência e prevenção da comunidade. A natureza oculta e enganadora desse tipo de ataque é extremamente forte, lembrando-nos que precisamos ser mais cautelosos ao explorar novos projetos, especialmente quando se trata de operações sensíveis.