Анализ инцидента кражи закрытых ключей пользователей Solana: вредоносный пакет NPM
В начале июля 2025 года произошло событие кражи активов пользователей Solana, которое привлекло внимание экспертов по безопасности. Инцидент произошел после того, как один из пользователей использовал открытый проект "solana-pumpfun-bot", размещенный на GitHub, и обнаружил, что его криптоактивы были украдены.
Безопасная команда начала расследование данного инцидента и обнаружила, что злоумышленники выдали себя за легитимный открытый проект, чтобы обманом заставить пользователей скачать и запустить Node.js проект, содержащий вредоносный код. Этот проект зависел от подозрительного стороннего пакета под названием "crypto-layout-utils", который был удален из официального NPM.
Глубокий анализ показал, что злоумышленник искусно заменил ссылку для загрузки "crypto-layout-utils" на вредоносную версию, размещенную на GitHub. Этот вредоносный пакет способен сканировать чувствительные файлы на компьютере пользователя в поисках информации, связанной с кошельками или Закрытыми ключами, и загружать эти данные на сервер, контролируемый злоумышленником.
Исследование также показало, что злоумышленники могли контролировать несколько аккаунтов GitHub для распространения вредоносных программ и повышения популярности проектов. Они привлекали больше пользователей, увеличивая количество Fork и Star, чтобы расширить масштаб атаки. Помимо "crypto-layout-utils", еще один вредоносный пакет под названием "bs58-encrypt-utils" также использовался для аналогичных атак.
С помощью инструментов анализа блокчейна команда безопасности обнаружила, что украденные средства были переведены на одну из торговых платформ.
Это событие подчеркивает безопасность, с которой сталкивается сообщество с открытым исходным кодом. Злоумышленники комбинируют социальную инженерию и технические средства, что делает даже внутреннюю защиту организации затруднительной против таких атак. Эксперты советуют разработчикам и пользователям проявлять повышенную осторожность к проектам на GitHub с неопределенным источником, особенно когда это касается операций с кошельками или Закрытым ключом. Если необходимо отладить, лучше делать это в изолированной среде, не содержащей чувствительных данных.
Наконец, команда безопасности опубликовала ряд связанных с этой атакой вредоносных проектов Node.js в репозиториях GitHub, названий вредоносных пакетов NPM и их ссылок для загрузки, а также доменных имен вредоносных серверов, использованных для загрузки данных, для справки и предотвращения в сообществе.
Этот инцидент вновь напоминает нам о том, что в мире децентрализации и открытого кода бдительность пользователей и осознание необходимости самозащиты имеют решающее значение. В то же время призываем разработческое сообщество усилить аудит и управление зависимостями от третьих сторон для совместного поддержания более безопасной криптоэкосистемы.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
20 Лайков
Награда
20
6
Репост
Поделиться
комментарий
0/400
MevWhisperer
· 07-29 17:56
Снова пришла волна неудачников, разыгрывайте людей как лохов, уходим!
Посмотреть ОригиналОтветить0
VitaliksTwin
· 07-29 11:24
Блокчейн的大灾难又来了
Посмотреть ОригиналОтветить0
CryptoHistoryClass
· 07-29 03:10
*проверяет графики инцидентов npm 2020 года* та же старая приманка-ловушка, если честно, ничего не меняется...
Посмотреть ОригиналОтветить0
FortuneTeller42
· 07-29 03:09
Узлы уже не безопасны, а эта жизнь
Посмотреть ОригиналОтветить0
NewPumpamentals
· 07-29 03:06
Кто вообще скачивает npm пакеты?
Посмотреть ОригиналОтветить0
ForkMonger
· 07-29 03:06
просто еще один Протокол дарвинизма в действии... слабая безопасность = естественный отбор, если честно
Анализ инцидента кражи закрытого ключа пользователей в результате атаки вредоносного NPM пакета на Solana
Анализ инцидента кражи закрытых ключей пользователей Solana: вредоносный пакет NPM
В начале июля 2025 года произошло событие кражи активов пользователей Solana, которое привлекло внимание экспертов по безопасности. Инцидент произошел после того, как один из пользователей использовал открытый проект "solana-pumpfun-bot", размещенный на GitHub, и обнаружил, что его криптоактивы были украдены.
Безопасная команда начала расследование данного инцидента и обнаружила, что злоумышленники выдали себя за легитимный открытый проект, чтобы обманом заставить пользователей скачать и запустить Node.js проект, содержащий вредоносный код. Этот проект зависел от подозрительного стороннего пакета под названием "crypto-layout-utils", который был удален из официального NPM.
Глубокий анализ показал, что злоумышленник искусно заменил ссылку для загрузки "crypto-layout-utils" на вредоносную версию, размещенную на GitHub. Этот вредоносный пакет способен сканировать чувствительные файлы на компьютере пользователя в поисках информации, связанной с кошельками или Закрытыми ключами, и загружать эти данные на сервер, контролируемый злоумышленником.
Исследование также показало, что злоумышленники могли контролировать несколько аккаунтов GitHub для распространения вредоносных программ и повышения популярности проектов. Они привлекали больше пользователей, увеличивая количество Fork и Star, чтобы расширить масштаб атаки. Помимо "crypto-layout-utils", еще один вредоносный пакет под названием "bs58-encrypt-utils" также использовался для аналогичных атак.
С помощью инструментов анализа блокчейна команда безопасности обнаружила, что украденные средства были переведены на одну из торговых платформ.
Это событие подчеркивает безопасность, с которой сталкивается сообщество с открытым исходным кодом. Злоумышленники комбинируют социальную инженерию и технические средства, что делает даже внутреннюю защиту организации затруднительной против таких атак. Эксперты советуют разработчикам и пользователям проявлять повышенную осторожность к проектам на GitHub с неопределенным источником, особенно когда это касается операций с кошельками или Закрытым ключом. Если необходимо отладить, лучше делать это в изолированной среде, не содержащей чувствительных данных.
Наконец, команда безопасности опубликовала ряд связанных с этой атакой вредоносных проектов Node.js в репозиториях GitHub, названий вредоносных пакетов NPM и их ссылок для загрузки, а также доменных имен вредоносных серверов, использованных для загрузки данных, для справки и предотвращения в сообществе.
Этот инцидент вновь напоминает нам о том, что в мире децентрализации и открытого кода бдительность пользователей и осознание необходимости самозащиты имеют решающее значение. В то же время призываем разработческое сообщество усилить аудит и управление зависимостями от третьих сторон для совместного поддержания более безопасной криптоэкосистемы.