Анализ инцидента кражи активов пользователей Solana из-за вредоносных пакетов NPM, похищающего Закрытый ключ
В начале июля 2025 года инцидент с кражей активов у пользователей Solana привлек внимание команды безопасности. Один из жертв, использовавший открытый проект, размещенный на GitHub, обнаружил, что его криптоактивы были украдены. После тщательного расследования команда безопасности раскрыла тщательно спланированную цепочку атак.
Атакующий, маскируясь под легитимный проект с открытым исходным кодом, подталкивает пользователей к загрузке и запуску Node.js проекта, содержащего вредоносный код. Этот проект под названием "solana-pumpfun-bot" на первый взгляд выглядит довольно популярным, имеет большое количество звезд и форков. Однако его история коммитов показывает аномальные паттерны и недостаток признаков постоянного обновления.
Дальнейший анализ показал, что проект полагается на подозрительный сторонний пакет под названием "crypto-layout-utils". Этот пакет был удален официальным NPM, но злоумышленники изменили файл package-lock.json, заменив ссылку на загрузку адресом своего контролируемого репозитория на GitHub, продолжая распространять вредоносный код.
После анализа этого сильно замаскированного вредоносного пакета команда безопасности подтвердила, что его функция заключается в сканировании чувствительных файлов на компьютере пользователя, особенно связанных с криптовалютными кошельками и Закрытым ключом. Как только целевой файл будет обнаружен, он будет загружен на сервер, контролируемый злоумышленником.
Атакующие также использовали стратегию многоаккаунтного сотрудничества, увеличивая доверие к проекту и расширяя круг жертв за счет множества операций Fork и Star. Кроме "crypto-layout-utils" был обнаружен еще один вредоносный пакет под названием "bs58-encrypt-utils", участвующий в этой атаке.
Используйте инструменты анализа на блокчейне, чтобы отследить движение украденных средств и обнаружить, что часть средств была переведена на одну из торговых платформ.
Этот инцидент подчеркивает проблемы безопасности, с которыми сталкивается сообщество с открытым исходным кодом. Злоумышленники воспользовались доверием пользователей к проектам на GitHub, применив социальную инженерию и технические методы для проведения сложной атаки. Для разработчиков и пользователей крайне важно сохранять высокую бдительность при работе с проектами, связанными с криптоактивами. Рекомендуется тестировать код неизвестного происхождения в изолированной среде и постоянно следить за подлинностью и надежностью проектов.
Данное событие связано с несколькими вредоносными репозиториями GitHub и пакетами NPM, команда безопасности составила соответствующую информацию для справки и предотвращения со стороны сообщества. Эта атака обладает высокой скрытностью и обманчивостью, что напоминает нам о необходимости быть более осторожными при исследовании новых проектов, особенно когда речь идет о чувствительных операциях.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
13 Лайков
Награда
13
7
Поделиться
комментарий
0/400
0xTherapist
· 8ч назад
Еще одни неудачники стали алхимиками.
Посмотреть ОригиналОтветить0
MidnightSeller
· 13ч назад
В следующий раз смотри внимательнее, прежде чем стричь неудачников.
Зловредный пакет NPM крадет закрытый ключ Solana, открытый исходный код проекта скрывает риф.
Анализ инцидента кражи активов пользователей Solana из-за вредоносных пакетов NPM, похищающего Закрытый ключ
В начале июля 2025 года инцидент с кражей активов у пользователей Solana привлек внимание команды безопасности. Один из жертв, использовавший открытый проект, размещенный на GitHub, обнаружил, что его криптоактивы были украдены. После тщательного расследования команда безопасности раскрыла тщательно спланированную цепочку атак.
Атакующий, маскируясь под легитимный проект с открытым исходным кодом, подталкивает пользователей к загрузке и запуску Node.js проекта, содержащего вредоносный код. Этот проект под названием "solana-pumpfun-bot" на первый взгляд выглядит довольно популярным, имеет большое количество звезд и форков. Однако его история коммитов показывает аномальные паттерны и недостаток признаков постоянного обновления.
Дальнейший анализ показал, что проект полагается на подозрительный сторонний пакет под названием "crypto-layout-utils". Этот пакет был удален официальным NPM, но злоумышленники изменили файл package-lock.json, заменив ссылку на загрузку адресом своего контролируемого репозитория на GitHub, продолжая распространять вредоносный код.
После анализа этого сильно замаскированного вредоносного пакета команда безопасности подтвердила, что его функция заключается в сканировании чувствительных файлов на компьютере пользователя, особенно связанных с криптовалютными кошельками и Закрытым ключом. Как только целевой файл будет обнаружен, он будет загружен на сервер, контролируемый злоумышленником.
Атакующие также использовали стратегию многоаккаунтного сотрудничества, увеличивая доверие к проекту и расширяя круг жертв за счет множества операций Fork и Star. Кроме "crypto-layout-utils" был обнаружен еще один вредоносный пакет под названием "bs58-encrypt-utils", участвующий в этой атаке.
Используйте инструменты анализа на блокчейне, чтобы отследить движение украденных средств и обнаружить, что часть средств была переведена на одну из торговых платформ.
Этот инцидент подчеркивает проблемы безопасности, с которыми сталкивается сообщество с открытым исходным кодом. Злоумышленники воспользовались доверием пользователей к проектам на GitHub, применив социальную инженерию и технические методы для проведения сложной атаки. Для разработчиков и пользователей крайне важно сохранять высокую бдительность при работе с проектами, связанными с криптоактивами. Рекомендуется тестировать код неизвестного происхождения в изолированной среде и постоянно следить за подлинностью и надежностью проектов.
Данное событие связано с несколькими вредоносными репозиториями GitHub и пакетами NPM, команда безопасности составила соответствующую информацию для справки и предотвращения со стороны сообщества. Эта атака обладает высокой скрытностью и обманчивостью, что напоминает нам о необходимости быть более осторожными при исследовании новых проектов, особенно когда речь идет о чувствительных операциях.