Аналіз інциденту з крадіжкою активів користувачів Solana через зловмисні пакети NPM, які викрали Закритий ключ
На початку липня 2025 року інцидент із крадіжкою активів користувачів Solana привернув увагу команди безпеки. Один з жертв, використовуючи проект з відкритим вихідним кодом, розміщений на GitHub, виявив, що його криптоактиви були вкрадені. Після глибокого розслідування команда безпеки виявила ретельно продуману атакувальну ланцюг.
Зловмисники, маскуючись під легітимний проект з відкритим кодом, спокушають користувачів завантажувати та запускати Node.js проекти, що містять шкідливий код. Цей проект під назвою "solana-pumpfun-bot" на вигляд дуже популярний, має велику кількість зірок та Fork. Проте, його історія комітів коду демонструє аномальні моделі, що вказують на відсутність постійних оновлень.
Подальший аналіз показав, що проєкт залежить від підозрілого стороннього пакета під назвою "crypto-layout-utils". Цей пакет був вилучений з офіційного NPM, але зловмисники, змінивши файл package-lock.json, замінили посилання для завантаження на адресу свого контролюваного репозиторію GitHub, продовжуючи розповсюджувати зловмисний код.
Після аналізу цього сильно заплутаного шкідливого пакету команда безпеки підтвердила, що його функція полягає у скануванні чутливих файлів на комп'ютері користувача, зокрема, пов'язаних з криптовалютними гаманцями та Закритими ключами. Як тільки цільовий файл буде виявлено, він буде завантажений на сервер, контрольований зловмисником.
Зловмисники також використовували стратегію співпраці з кількома обліковими записами, збільшуючи достовірність проекту за рахунок великої кількості операцій Fork і Star, розширюючи коло жертв. Окрім "crypto-layout-utils", було виявлено ще один шкідливий пакет під назвою "bs58-encrypt-utils", який брав участь у цій атаці.
Використовуйте інструменти аналізу блокчейну для відстеження напрямку викрадених коштів та виявлення частини коштів, які були переведені на певну торгову платформу.
Ця подія підкреслює виклики безпеки, з якими стикається спільнота з відкритим кодом. Зловмисники використали довіру користувачів до проектів на GitHub, поєднуючи соціальну інженерію та технічні засоби, щоб здійснити складну атаку. Для розробників і користувачів надзвичайно важливо залишатися у стані високої настороженості при роботі з проектами, пов'язаними з криптоактивами. Рекомендується тестувати код невідомого походження в ізольованому середовищі та постійно стежити за справжністю та надійністю проекту.
Ця подія пов'язана з кількома шкідливими репозиторіями GitHub та пакетами NPM, команда з безпеки вже склала відповідну інформацію для ознайомлення та запобігання в спільноті. Цей вид атаки має високу ступінь прихованості та обману, що нагадує нам про необхідність бути більш обережними при дослідженні нових проектів, особливо коли йдеться про чутливі операції.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
13 лайків
Нагородити
13
7
Поділіться
Прокоментувати
0/400
0xTherapist
· 4год тому
Ще один невдах знову став алхіміком.
Переглянути оригіналвідповісти на0
MidnightSeller
· 9год тому
Наступного разу дивіться уважніше, перш ніж стригти невдах!
Зловмисний пакет NPM краде закритий ключ Solana, відкритий вихідний код проекту приховує небезпеку.
Аналіз інциденту з крадіжкою активів користувачів Solana через зловмисні пакети NPM, які викрали Закритий ключ
На початку липня 2025 року інцидент із крадіжкою активів користувачів Solana привернув увагу команди безпеки. Один з жертв, використовуючи проект з відкритим вихідним кодом, розміщений на GitHub, виявив, що його криптоактиви були вкрадені. Після глибокого розслідування команда безпеки виявила ретельно продуману атакувальну ланцюг.
Зловмисники, маскуючись під легітимний проект з відкритим кодом, спокушають користувачів завантажувати та запускати Node.js проекти, що містять шкідливий код. Цей проект під назвою "solana-pumpfun-bot" на вигляд дуже популярний, має велику кількість зірок та Fork. Проте, його історія комітів коду демонструє аномальні моделі, що вказують на відсутність постійних оновлень.
Подальший аналіз показав, що проєкт залежить від підозрілого стороннього пакета під назвою "crypto-layout-utils". Цей пакет був вилучений з офіційного NPM, але зловмисники, змінивши файл package-lock.json, замінили посилання для завантаження на адресу свого контролюваного репозиторію GitHub, продовжуючи розповсюджувати зловмисний код.
Після аналізу цього сильно заплутаного шкідливого пакету команда безпеки підтвердила, що його функція полягає у скануванні чутливих файлів на комп'ютері користувача, зокрема, пов'язаних з криптовалютними гаманцями та Закритими ключами. Як тільки цільовий файл буде виявлено, він буде завантажений на сервер, контрольований зловмисником.
Зловмисники також використовували стратегію співпраці з кількома обліковими записами, збільшуючи достовірність проекту за рахунок великої кількості операцій Fork і Star, розширюючи коло жертв. Окрім "crypto-layout-utils", було виявлено ще один шкідливий пакет під назвою "bs58-encrypt-utils", який брав участь у цій атаці.
Використовуйте інструменти аналізу блокчейну для відстеження напрямку викрадених коштів та виявлення частини коштів, які були переведені на певну торгову платформу.
Ця подія підкреслює виклики безпеки, з якими стикається спільнота з відкритим кодом. Зловмисники використали довіру користувачів до проектів на GitHub, поєднуючи соціальну інженерію та технічні засоби, щоб здійснити складну атаку. Для розробників і користувачів надзвичайно важливо залишатися у стані високої настороженості при роботі з проектами, пов'язаними з криптоактивами. Рекомендується тестувати код невідомого походження в ізольованому середовищі та постійно стежити за справжністю та надійністю проекту.
Ця подія пов'язана з кількома шкідливими репозиторіями GitHub та пакетами NPM, команда з безпеки вже склала відповідну інформацію для ознайомлення та запобігання в спільноті. Цей вид атаки має високу ступінь прихованості та обману, що нагадує нам про необхідність бути більш обережними при дослідженні нових проектів, особливо коли йдеться про чутливі операції.