Аналіз інциденту з крадіжкою закритих ключів у користувачів Solana через шкідливі пакети NPM
На початку липня 2025 року один з користувачів Solana звернувся до команди безпеки з проханням про допомогу, стверджуючи, що його криптоактиви були вкрадені після використання одного з відкритих проектів на GitHub. Під час розслідування було виявлено, що це був випадок атаки, що використовує шкідливий пакет NPM для крадіжки закритих ключів користувачів.
Хід подій
Потерпілий використовував GitHub проект під назвою solana-pumpfun-bot, який виглядає нормальним, має велику кількість зірок та форків. Однак, час оновлення коду проекту зосереджений на три тижні тому, що свідчить про відсутність постійних оновлень.
Додатковий аналіз показав, що проєкт залежить від підозрілого стороннього пакету crypto-layout-utils. Цей пакет був вилучений з офіційного NPM, і вказана версія не має історії. Виявляється, що зловмисник змінив файл package-lock.json, вказавши посилання для завантаження залежного пакету на свій контрольований репозиторій GitHub.
Аналіз зловмисних пакетів
Команда безпеки завантажила та проаналізувала підозрілий пакет crypto-layout-utils-1.3.1, виявивши, що його код сильно замаскований. Після декодування підтверджено, що це шкідливий пакет NPM, який сканує чутливі файли на комп'ютері користувача і, якщо знайде вміст, пов'язаний з гаманцем або Закритим ключем, завантажує його на сервери зловмисників.
Методи атаки
Зловмисники могли контролювати кілька облікових записів GitHub для розповсюдження шкідливих програм і підвищення популярності проектів. Вони маскуються під легітимні відкриті проекти, спонукаючи користувачів завантажувати та запускати код Node.js з шкідливими залежностями, тим самим викрадаючи Закритий ключ.
Крім того, було виявлено ще один шкідливий пакет bs58-encrypt-utils-1.0.3, ймовірно, атакуюча активність могла початися приблизно в середині червня 2025 року.
Куди йдуть кошти
За допомогою інструментів аналізу на блокчейні виявлено, що частина вкрадених коштів була переведена на певну торгову платформу.
Рекомендації щодо безпеки
Будьте обережні з GitHub проектами, джерело яких не відоме, особливо з проектами, що стосуються роботи з гаманцями.
За необхідності виконувати та налагоджувати невідомі проекти в ізольованому середовищі.
Розробники повинні ретельно перевіряти сторонні залежності, бути обережними з підозрілими пакетами або посиланнями для завантаження.
Регулярно перевіряйте та оновлюйте залежності проєкту, своєчасно видаляйте компоненти, що мають загрозу безпеці.
Використовуйте надійні інструменти безпеки для регулярного сканування коду проекту, щоб вчасно виявити потенційні загрози.
Ця подія ще раз підтверджує, що зловмисники постійно впроваджують нові методи для атак на екосистему з відкритим кодом. Розробники та користувачі повинні підвищити обізнаність про безпеку та спільно підтримувати здорове середовище відкритого коду.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
12 лайків
Нагородити
12
4
Репост
Поділіться
Прокоментувати
0/400
GateUser-40edb63b
· 08-09 07:17
пастка формула виведення не новина
Переглянути оригіналвідповісти на0
MidnightSeller
· 08-09 07:03
Значить, ти несерйозний, друже.
Переглянути оригіналвідповісти на0
PumpStrategist
· 08-09 06:58
Ринок вже подавав сигнали, уроки безкоштовних речей не запам'ятовуються.
Екосистема Solana знову стала жертвою крадіжки закритих ключів: шкідливий пакет NPM маскується під відкрите вихідний код проекту.
Аналіз інциденту з крадіжкою закритих ключів у користувачів Solana через шкідливі пакети NPM
На початку липня 2025 року один з користувачів Solana звернувся до команди безпеки з проханням про допомогу, стверджуючи, що його криптоактиви були вкрадені після використання одного з відкритих проектів на GitHub. Під час розслідування було виявлено, що це був випадок атаки, що використовує шкідливий пакет NPM для крадіжки закритих ключів користувачів.
Хід подій
Потерпілий використовував GitHub проект під назвою solana-pumpfun-bot, який виглядає нормальним, має велику кількість зірок та форків. Однак, час оновлення коду проекту зосереджений на три тижні тому, що свідчить про відсутність постійних оновлень.
Додатковий аналіз показав, що проєкт залежить від підозрілого стороннього пакету crypto-layout-utils. Цей пакет був вилучений з офіційного NPM, і вказана версія не має історії. Виявляється, що зловмисник змінив файл package-lock.json, вказавши посилання для завантаження залежного пакету на свій контрольований репозиторій GitHub.
Аналіз зловмисних пакетів
Команда безпеки завантажила та проаналізувала підозрілий пакет crypto-layout-utils-1.3.1, виявивши, що його код сильно замаскований. Після декодування підтверджено, що це шкідливий пакет NPM, який сканує чутливі файли на комп'ютері користувача і, якщо знайде вміст, пов'язаний з гаманцем або Закритим ключем, завантажує його на сервери зловмисників.
Методи атаки
Зловмисники могли контролювати кілька облікових записів GitHub для розповсюдження шкідливих програм і підвищення популярності проектів. Вони маскуються під легітимні відкриті проекти, спонукаючи користувачів завантажувати та запускати код Node.js з шкідливими залежностями, тим самим викрадаючи Закритий ключ.
Крім того, було виявлено ще один шкідливий пакет bs58-encrypt-utils-1.0.3, ймовірно, атакуюча активність могла початися приблизно в середині червня 2025 року.
Куди йдуть кошти
За допомогою інструментів аналізу на блокчейні виявлено, що частина вкрадених коштів була переведена на певну торгову платформу.
Рекомендації щодо безпеки
Будьте обережні з GitHub проектами, джерело яких не відоме, особливо з проектами, що стосуються роботи з гаманцями.
За необхідності виконувати та налагоджувати невідомі проекти в ізольованому середовищі.
Розробники повинні ретельно перевіряти сторонні залежності, бути обережними з підозрілими пакетами або посиланнями для завантаження.
Регулярно перевіряйте та оновлюйте залежності проєкту, своєчасно видаляйте компоненти, що мають загрозу безпеці.
Використовуйте надійні інструменти безпеки для регулярного сканування коду проекту, щоб вчасно виявити потенційні загрози.
Ця подія ще раз підтверджує, що зловмисники постійно впроваджують нові методи для атак на екосистему з відкритим кодом. Розробники та користувачі повинні підвищити обізнаність про безпеку та спільно підтримувати здорове середовище відкритого коду.