Аналіз випадку крадіжки активів користувачів Solana: зловмисний NPM пакет викрав Закритий ключ
На початку липня 2025 року користувач звернувся до команди з безпеки за допомогою, стверджуючи, що його криптоактиви були вкрадені після використання відкритого проекту на GitHub під назвою solana-pumpfun-bot. Під час розслідування цей інцидент виявив ретельно сплановану атаку, що включала шкідливі пакети NPM, замасковані проекти GitHub та соціотехнічні методи.
Розслідування подій
Команда безпеки відвідала GitHub-репозиторій, що підлягає розслідуванню, і виявила, що проект, хоча і має велику кількість зірок та форків, має аномально високу концентрацію оновлень коду та відсутні ознаки постійного обслуговування. Подальший аналіз показав, що проект залежить від підозрілого стороннього пакету crypto-layout-utils, який був вилучений з NPM.
Перевіривши файл package-lock.json, дослідники виявили, що зловмисники замінили посилання для завантаження crypto-layout-utils на адресу релізу GitHub. Завантаживши та проаналізувавши цей сильно заплутаний пакет залежностей, було підтверджено, що він містить шкідливий код, що має функцію сканування файлів комп'ютера користувача та завантаження чутливої інформації.
Методи атаки
Зловмисники, ймовірно, контролюють кілька облікових записів GitHub для розповсюдження шкідливих проєктів та підвищення їхньої надійності. Вони підвищують популярність проєктів за допомогою операцій Fork і Star, залучаючи більше користувачів до уваги та використання. Окрім crypto-layout-utils, також було виявлено ще один шкідливий пакет під назвою bs58-encrypt-utils, який бере участь в атаці.
Використовуючи інструменти аналізу блокчейну, виявили, що вкрадені кошти врешті-решт потрапили на певну торгову платформу.
Підсумок та рекомендації
Цей напад майстерно поєднав технічні засоби та стратегії соціальної інженерії. Зловмисники маскувалися під законні проекти з відкритим кодом, спонукаючи користувачів завантажувати та запускати програми Node.js з шкідливими залежностями, що призводило до крадіжки закритого ключа гаманця та активів.
Щоб запобігти подібним атакам, рекомендується розробникам та користувачам:
Будьте надзвичайно обережні з GitHub-проєктами з невідомим походженням, особливо тими, що стосуються гаманців або Закритий ключ операцій.
Запускати та налагоджувати незнайомий код у незалежному середовищі без чутливих даних.
Регулярно перевіряйте залежності проекту, щоб забезпечити використання офіційно сертифікованих пакетів.
Звертайте увагу на історію оновлень проекту та відгуки спільноти, остерігайтеся раптово популярних проектів, які не мають довгострокового обслуговування.
Ця подія ще раз нагадує нам, що у відкритій екосистемі з відкритим кодом усвідомлення безпеки та обережність є надзвичайно важливими.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
16 лайків
Нагородити
16
5
Поділіться
Прокоментувати
0/400
DYORMaster
· 07-21 23:59
Знову пастка проекту була вкрадена
Переглянути оригіналвідповісти на0
FomoAnxiety
· 07-21 10:38
Шторм і дощ, хто буде зберігати закритий ключ в інтернеті?
Переглянути оригіналвідповісти на0
ForkThisDAO
· 07-19 01:48
Знову сталася аварія, смартконтракти можуть бути як потужними, так і слабкими.
Переглянути оригіналвідповісти на0
GweiTooHigh
· 07-19 01:48
Знову обдурювати людей, як лохів.
Переглянути оригіналвідповісти на0
GateUser-5854de8b
· 07-19 01:29
Відкритий вихідний код проектів ще й ця пастка, погано ж, правда?
Solana зазнала атаки на мережу постачання: шкідливий пакет NPM викрав закриті ключі та активи користувачів
Аналіз випадку крадіжки активів користувачів Solana: зловмисний NPM пакет викрав Закритий ключ
На початку липня 2025 року користувач звернувся до команди з безпеки за допомогою, стверджуючи, що його криптоактиви були вкрадені після використання відкритого проекту на GitHub під назвою solana-pumpfun-bot. Під час розслідування цей інцидент виявив ретельно сплановану атаку, що включала шкідливі пакети NPM, замасковані проекти GitHub та соціотехнічні методи.
Розслідування подій
Команда безпеки відвідала GitHub-репозиторій, що підлягає розслідуванню, і виявила, що проект, хоча і має велику кількість зірок та форків, має аномально високу концентрацію оновлень коду та відсутні ознаки постійного обслуговування. Подальший аналіз показав, що проект залежить від підозрілого стороннього пакету crypto-layout-utils, який був вилучений з NPM.
Перевіривши файл package-lock.json, дослідники виявили, що зловмисники замінили посилання для завантаження crypto-layout-utils на адресу релізу GitHub. Завантаживши та проаналізувавши цей сильно заплутаний пакет залежностей, було підтверджено, що він містить шкідливий код, що має функцію сканування файлів комп'ютера користувача та завантаження чутливої інформації.
Методи атаки
Зловмисники, ймовірно, контролюють кілька облікових записів GitHub для розповсюдження шкідливих проєктів та підвищення їхньої надійності. Вони підвищують популярність проєктів за допомогою операцій Fork і Star, залучаючи більше користувачів до уваги та використання. Окрім crypto-layout-utils, також було виявлено ще один шкідливий пакет під назвою bs58-encrypt-utils, який бере участь в атаці.
Використовуючи інструменти аналізу блокчейну, виявили, що вкрадені кошти врешті-решт потрапили на певну торгову платформу.
Підсумок та рекомендації
Цей напад майстерно поєднав технічні засоби та стратегії соціальної інженерії. Зловмисники маскувалися під законні проекти з відкритим кодом, спонукаючи користувачів завантажувати та запускати програми Node.js з шкідливими залежностями, що призводило до крадіжки закритого ключа гаманця та активів.
Щоб запобігти подібним атакам, рекомендується розробникам та користувачам:
Ця подія ще раз нагадує нам, що у відкритій екосистемі з відкритим кодом усвідомлення безпеки та обережність є надзвичайно важливими.