Análisis del incidente de robo de llaves privadas de usuarios de Solana: paquete NPM malicioso
A principios de julio de 2025, un incidente de robo de activos dirigido a usuarios de Solana llamó la atención de los expertos en seguridad. El incidente se originó cuando un usuario, tras utilizar el proyecto de código abierto "solana-pumpfun-bot" alojado en GitHub, descubrió que sus activos criptográficos habían sido robados.
Después de que el equipo de seguridad investigara el incidente, descubrió que los atacantes se hacían pasar por un proyecto de código abierto legítimo, engañando a los usuarios para que descargaran y ejecutaran un proyecto de Node.js que contenía código malicioso. Este proyecto dependía de un paquete de terceros sospechoso llamado "crypto-layout-utils", que ya ha sido retirado por NPM.
Un análisis profundo revela que el atacante ha sustituido ingeniosamente el enlace de descarga de "crypto-layout-utils" por una versión maliciosa alojada en GitHub. Este paquete malicioso puede escanear archivos sensibles en la computadora del usuario, buscando información relacionada con billeteras o Llave privada, y subir estos datos a un servidor controlado por el atacante.
La investigación también reveló que los atacantes podrían haber controlado múltiples cuentas de GitHub para distribuir malware y aumentar la popularidad de los proyectos. Atraen a más usuarios y amplían el alcance del ataque a través de Fork de proyectos y aumentando la cantidad de Stars. Además de "crypto-layout-utils", otro paquete malicioso llamado "bs58-encrypt-utils" también se utilizó para ataques similares.
A través de herramientas de análisis de blockchain, el equipo de seguridad descubrió que los fondos robados fueron transferidos a una plataforma de intercambio.
Este evento destaca los desafíos de seguridad que enfrenta la comunidad de código abierto. Los atacantes combinan ingeniería social y métodos técnicos, lo que dificulta la defensa completa contra este tipo de ataques, incluso dentro de las organizaciones. Los expertos aconsejan a los desarrolladores y usuarios que mantengan una alta vigilancia sobre los proyectos de GitHub de origen desconocido, especialmente aquellos que involucran operaciones de billetera o Llave privada. Si es necesario depurar, es mejor hacerlo en un entorno aislado y sin datos sensibles.
Por último, el equipo de seguridad publicó una serie de repositorios de proyectos maliciosos de Node.js en GitHub relacionados con este ataque, los nombres de paquetes NPM maliciosos y sus enlaces de descarga, así como los nombres de dominio de servidores maliciosos utilizados para la carga de datos, para referencia y prevención de la comunidad.
Este incidente nos recuerda una vez más que, en un mundo descentralizado y de código abierto, la vigilancia de los usuarios y la conciencia de autoprotección son fundamentales. Al mismo tiempo, también se hace un llamado a la comunidad de desarrollo para que refuercen la auditoría y gestión de las dependencias de terceros, y así mantener juntos un ecosistema criptográfico más seguro.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
20 me gusta
Recompensa
20
6
Compartir
Comentar
0/400
MevWhisperer
· 07-29 17:56
Otra ola de tontos tomando a la gente por tonta. Me voy, me voy.
Ver originalesResponder0
VitaliksTwin
· 07-29 11:24
La gran catástrofe de la cadena de bloques ha vuelto.
Ver originalesResponder0
CryptoHistoryClass
· 07-29 03:10
*revisa los gráficos de los incidentes de npm de 2020* la misma trampa de honeypot, nunca cambia, para ser honesto...
Ver originalesResponder0
FortuneTeller42
· 07-29 03:09
Los nodos ya no son seguros, ¿qué vida es esta?
Ver originalesResponder0
NewPumpamentals
· 07-29 03:06
¿Quién descarga paquetes de npm de manera seria?
Ver originalesResponder0
ForkMonger
· 07-29 03:06
simplemente otro protocolo del darwinismo en acción... seguridad débil = selección natural, la verdad
Análisis del incidente de robo de llaves privadas de usuarios debido a un ataque malicioso de paquetes NPM en Solana
Análisis del incidente de robo de llaves privadas de usuarios de Solana: paquete NPM malicioso
A principios de julio de 2025, un incidente de robo de activos dirigido a usuarios de Solana llamó la atención de los expertos en seguridad. El incidente se originó cuando un usuario, tras utilizar el proyecto de código abierto "solana-pumpfun-bot" alojado en GitHub, descubrió que sus activos criptográficos habían sido robados.
Después de que el equipo de seguridad investigara el incidente, descubrió que los atacantes se hacían pasar por un proyecto de código abierto legítimo, engañando a los usuarios para que descargaran y ejecutaran un proyecto de Node.js que contenía código malicioso. Este proyecto dependía de un paquete de terceros sospechoso llamado "crypto-layout-utils", que ya ha sido retirado por NPM.
Un análisis profundo revela que el atacante ha sustituido ingeniosamente el enlace de descarga de "crypto-layout-utils" por una versión maliciosa alojada en GitHub. Este paquete malicioso puede escanear archivos sensibles en la computadora del usuario, buscando información relacionada con billeteras o Llave privada, y subir estos datos a un servidor controlado por el atacante.
La investigación también reveló que los atacantes podrían haber controlado múltiples cuentas de GitHub para distribuir malware y aumentar la popularidad de los proyectos. Atraen a más usuarios y amplían el alcance del ataque a través de Fork de proyectos y aumentando la cantidad de Stars. Además de "crypto-layout-utils", otro paquete malicioso llamado "bs58-encrypt-utils" también se utilizó para ataques similares.
A través de herramientas de análisis de blockchain, el equipo de seguridad descubrió que los fondos robados fueron transferidos a una plataforma de intercambio.
Este evento destaca los desafíos de seguridad que enfrenta la comunidad de código abierto. Los atacantes combinan ingeniería social y métodos técnicos, lo que dificulta la defensa completa contra este tipo de ataques, incluso dentro de las organizaciones. Los expertos aconsejan a los desarrolladores y usuarios que mantengan una alta vigilancia sobre los proyectos de GitHub de origen desconocido, especialmente aquellos que involucran operaciones de billetera o Llave privada. Si es necesario depurar, es mejor hacerlo en un entorno aislado y sin datos sensibles.
Por último, el equipo de seguridad publicó una serie de repositorios de proyectos maliciosos de Node.js en GitHub relacionados con este ataque, los nombres de paquetes NPM maliciosos y sus enlaces de descarga, así como los nombres de dominio de servidores maliciosos utilizados para la carga de datos, para referencia y prevención de la comunidad.
Este incidente nos recuerda una vez más que, en un mundo descentralizado y de código abierto, la vigilancia de los usuarios y la conciencia de autoprotección son fundamentales. Al mismo tiempo, también se hace un llamado a la comunidad de desarrollo para que refuercen la auditoría y gestión de las dependencias de terceros, y así mantener juntos un ecosistema criptográfico más seguro.