Phân tích sự cố người dùng Solana bị đánh cắp khóa riêng bởi gói NPM độc hại
Vào đầu tháng 7 năm 2025, một người dùng Solana đã yêu cầu sự giúp đỡ từ đội ngũ an ninh, cho biết tài sản tiền điện tử của họ đã bị đánh cắp sau khi sử dụng một dự án mã nguồn mở trên GitHub. Qua điều tra, phát hiện đây là một vụ tấn công lợi dụng gói NPM độc hại để đánh cắp khóa riêng của người dùng.
Diễn biến sự kiện
Nạn nhân đã sử dụng một dự án GitHub có tên là solana-pumpfun-bot, dự án này có vẻ bình thường, với số lượng Star và Fork cao. Tuy nhiên, thời gian cập nhật mã của dự án tập trung vào ba tuần trước, thiếu đặc điểm cập nhật liên tục.
Phân tích sâu hơn cho thấy, dự án phụ thuộc vào một gói bên thứ ba khả nghi là crypto-layout-utils. Gói này đã bị gỡ bỏ khỏi NPM chính thức và phiên bản chỉ định không có lịch sử. Hóa ra kẻ tấn công đã sửa đổi tệp package-lock.json, chỉ định liên kết tải xuống gói phụ thuộc đến kho GitHub mà hắn kiểm soát.
Phân tích gói độc hại
Nhóm bảo mật đã tải xuống và phân tích gói crypto-layout-utils-1.3.1 nghi ngờ, phát hiện ra rằng mã của nó đã được làm mờ cao. Sau khi giải mờ, xác nhận đây là một gói NPM độc hại, nó sẽ quét các tệp nhạy cảm trên máy tính của người dùng, nếu phát hiện nội dung liên quan đến ví hoặc Khóa riêng thì sẽ tải lên máy chủ của kẻ tấn công.
Phương pháp tấn công
Kẻ tấn công có thể đã kiểm soát nhiều tài khoản GitHub, để phân phối phần mềm độc hại và tăng cường độ phổ biến của dự án. Họ đã giả mạo thành các dự án mã nguồn mở hợp pháp, dụ dỗ người dùng tải xuống và chạy mã Node.js có chứa các phụ thuộc độc hại, từ đó đánh cắp Khóa riêng.
Ngoài ra còn phát hiện một gói độc hại khác là bs58-encrypt-utils-1.0.3, nghi ngờ hoạt động tấn công có thể bắt đầu sớm nhất vào giữa tháng 6 năm 2025.
Hướng đi của vốn
Thông qua công cụ phân tích trên chuỗi, phát hiện một phần số tiền bị đánh cắp đã được chuyển đến một nền tảng giao dịch.
Lời khuyên an toàn
Hãy cảnh giác với các dự án GitHub có nguồn gốc không rõ ràng, đặc biệt là các dự án liên quan đến việc thao tác ví.
Chạy và gỡ lỗi các dự án không xác định trong môi trường cách ly nếu cần.
Các nhà phát triển nên xem xét kỹ lưỡng các phụ thuộc bên thứ ba, cảnh giác với các gói hoặc liên kết tải xuống đáng ngờ.
Thường xuyên kiểm tra và cập nhật các phụ thuộc của dự án, kịp thời loại bỏ các thành phần có nguy cơ an ninh.
Sử dụng công cụ bảo mật đáng tin cậy để quét mã dự án định kỳ, phát hiện sớm các mối đe dọa tiềm ẩn.
Sự kiện này lại một lần nữa cho thấy, kẻ tấn công đang không ngừng đổi mới phương pháp, nhằm tấn công vào hệ sinh thái mã nguồn mở. Các nhà phát triển và người dùng cần nâng cao nhận thức về an ninh, cùng nhau duy trì một môi trường mã nguồn mở khỏe mạnh.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
12 thích
Phần thưởng
12
4
Đăng lại
Chia sẻ
Bình luận
0/400
GateUser-40edb63b
· 08-09 07:17
bẫy công thức rút tiền bị lừa cũng không mới
Xem bản gốcTrả lời0
MidnightSeller
· 08-09 07:03
Đại ý rồi à, tiểu tử
Xem bản gốcTrả lời0
PumpStrategist
· 08-09 06:58
Thị trường đã có tín hiệu từ sớm, bài học miễn phí không để lâu trong tâm trí.
Hệ sinh thái Solana lại xuất hiện tình trạng đánh cắp khóa riêng do gói NPM độc hại ngụy trang thành dự án mã nguồn mở.
Phân tích sự cố người dùng Solana bị đánh cắp khóa riêng bởi gói NPM độc hại
Vào đầu tháng 7 năm 2025, một người dùng Solana đã yêu cầu sự giúp đỡ từ đội ngũ an ninh, cho biết tài sản tiền điện tử của họ đã bị đánh cắp sau khi sử dụng một dự án mã nguồn mở trên GitHub. Qua điều tra, phát hiện đây là một vụ tấn công lợi dụng gói NPM độc hại để đánh cắp khóa riêng của người dùng.
Diễn biến sự kiện
Nạn nhân đã sử dụng một dự án GitHub có tên là solana-pumpfun-bot, dự án này có vẻ bình thường, với số lượng Star và Fork cao. Tuy nhiên, thời gian cập nhật mã của dự án tập trung vào ba tuần trước, thiếu đặc điểm cập nhật liên tục.
Phân tích sâu hơn cho thấy, dự án phụ thuộc vào một gói bên thứ ba khả nghi là crypto-layout-utils. Gói này đã bị gỡ bỏ khỏi NPM chính thức và phiên bản chỉ định không có lịch sử. Hóa ra kẻ tấn công đã sửa đổi tệp package-lock.json, chỉ định liên kết tải xuống gói phụ thuộc đến kho GitHub mà hắn kiểm soát.
Phân tích gói độc hại
Nhóm bảo mật đã tải xuống và phân tích gói crypto-layout-utils-1.3.1 nghi ngờ, phát hiện ra rằng mã của nó đã được làm mờ cao. Sau khi giải mờ, xác nhận đây là một gói NPM độc hại, nó sẽ quét các tệp nhạy cảm trên máy tính của người dùng, nếu phát hiện nội dung liên quan đến ví hoặc Khóa riêng thì sẽ tải lên máy chủ của kẻ tấn công.
Phương pháp tấn công
Kẻ tấn công có thể đã kiểm soát nhiều tài khoản GitHub, để phân phối phần mềm độc hại và tăng cường độ phổ biến của dự án. Họ đã giả mạo thành các dự án mã nguồn mở hợp pháp, dụ dỗ người dùng tải xuống và chạy mã Node.js có chứa các phụ thuộc độc hại, từ đó đánh cắp Khóa riêng.
Ngoài ra còn phát hiện một gói độc hại khác là bs58-encrypt-utils-1.0.3, nghi ngờ hoạt động tấn công có thể bắt đầu sớm nhất vào giữa tháng 6 năm 2025.
Hướng đi của vốn
Thông qua công cụ phân tích trên chuỗi, phát hiện một phần số tiền bị đánh cắp đã được chuyển đến một nền tảng giao dịch.
Lời khuyên an toàn
Hãy cảnh giác với các dự án GitHub có nguồn gốc không rõ ràng, đặc biệt là các dự án liên quan đến việc thao tác ví.
Chạy và gỡ lỗi các dự án không xác định trong môi trường cách ly nếu cần.
Các nhà phát triển nên xem xét kỹ lưỡng các phụ thuộc bên thứ ba, cảnh giác với các gói hoặc liên kết tải xuống đáng ngờ.
Thường xuyên kiểm tra và cập nhật các phụ thuộc của dự án, kịp thời loại bỏ các thành phần có nguy cơ an ninh.
Sử dụng công cụ bảo mật đáng tin cậy để quét mã dự án định kỳ, phát hiện sớm các mối đe dọa tiềm ẩn.
Sự kiện này lại một lần nữa cho thấy, kẻ tấn công đang không ngừng đổi mới phương pháp, nhằm tấn công vào hệ sinh thái mã nguồn mở. Các nhà phát triển và người dùng cần nâng cao nhận thức về an ninh, cùng nhau duy trì một môi trường mã nguồn mở khỏe mạnh.