Аналіз події крадіжки активів користувачів Solana: зловмисний NPM пакет викрав Закритий ключ
На початку липня 2025 року інцидент з крадіжкою активів користувачів Solana привернув увагу експертів з безпеки. Інцидент стався після того, як один з користувачів, використовуючи відкритий проект "solana-pumpfun-bot", розміщений на GitHub, виявив, що його криптоактиви були вкрадені.
Команда безпеки після розслідування інциденту виявила, що зловмисники, маскуючись під легітимний відкритий проект, спонукали користувачів завантажувати та запускати Node.js проект з шкідливим кодом. Цей проект залежить від підозрілого стороннього пакету під назвою "crypto-layout-utils", який вже був знятий з NPM.
Глибокий аналіз виявив, що зловмисники хитро замінили посилання на завантаження "crypto-layout-utils" на шкідливу версію, яка розміщена на GitHub. Цей шкідливий пакет може сканувати чутливі файли на комп'ютерах користувачів, шукати інформацію, пов'язану з гаманцями або Закритими ключами, і завантажувати ці дані на сервери, контрольовані зловмисниками.
Дослідження також виявило, що зловмисники могли контролювати кілька облікових записів GitHub, щоб поширювати шкідливе програмне забезпечення та підвищувати популярність проєктів. Вони залучали більше користувачів, розширюючи область атаки шляхом Fork проєктів та збільшення кількості Star. Окрім "crypto-layout-utils", ще один шкідливий пакет під назвою "bs58-encrypt-utils" також використовувався для подібних атак.
За допомогою інструментів аналізу блокчейну команда безпеки виявила, що вкрадені кошти були переведені на певну торгову платформу.
Ця подія підкреслює виклики безпеки, з якими стикається спільнота з відкритим кодом. Зловмисники поєднують соціальну інженерію та технічні засоби, що ускладнює повну оборону від таких атак навіть всередині організацій. Експерти радять розробникам та користувачам бути надзвичайно обережними щодо проектів GitHub з невідомим походженням, особливо коли йдеться про операції з гаманцями або Закритими ключами. Якщо потрібно налагоджувати, краще робити це в ізольованому середовищі, яке не містить чутливих даних.
Насамкінець, команда з безпеки опублікувала ряд шкідливих проектів Node.js на GitHub, назв шкідливих пакетів NPM та їхні посилання для завантаження, а також доменні імена шкідливих серверів, які використовувалися для завантаження даних, для довідки та запобігання з боку спільноти.
Ця подія ще раз нагадує нам, що у світі децентралізації та відкритого коду пильність користувачів і усвідомлення необхідності самозахисту є надзвичайно важливими. Одночасно, це заклик до розробницької спільноти посилити перевірку та управління сторонніми залежностями, щоб спільно підтримувати більш безпечну криптоекосистему.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
20 лайків
Нагородити
20
6
Поділіться
Прокоментувати
0/400
MevWhisperer
· 07-29 17:56
Знову хвиля невдах, обдурювати людей, як лохів. Зник!
Переглянути оригіналвідповісти на0
VitaliksTwin
· 07-29 11:24
Блокчейн великої катастрофи знову прийшла
Переглянути оригіналвідповісти на0
CryptoHistoryClass
· 07-29 03:10
*перевіряє графіки з інцидентів npm 2020 року* та сама стара пастка honeypot, насправді ніколи не змінюється...
Переглянути оригіналвідповісти на0
FortuneTeller42
· 07-29 03:09
Ноди вже небезпечні, а ці дні
Переглянути оригіналвідповісти на0
NewPumpamentals
· 07-29 03:06
Справжні люди навіщо завантажують npm пакети?
Переглянути оригіналвідповісти на0
ForkMonger
· 07-29 03:06
просто ще один протокол дарвінізму на ділі... слабка безпека = природний відбір, якщо чесно
Аналіз інциденту з крадіжкою приватних ключів користувачів через атаки з використанням шкідливих NPM пакетів на Solana
Аналіз події крадіжки активів користувачів Solana: зловмисний NPM пакет викрав Закритий ключ
На початку липня 2025 року інцидент з крадіжкою активів користувачів Solana привернув увагу експертів з безпеки. Інцидент стався після того, як один з користувачів, використовуючи відкритий проект "solana-pumpfun-bot", розміщений на GitHub, виявив, що його криптоактиви були вкрадені.
Команда безпеки після розслідування інциденту виявила, що зловмисники, маскуючись під легітимний відкритий проект, спонукали користувачів завантажувати та запускати Node.js проект з шкідливим кодом. Цей проект залежить від підозрілого стороннього пакету під назвою "crypto-layout-utils", який вже був знятий з NPM.
Глибокий аналіз виявив, що зловмисники хитро замінили посилання на завантаження "crypto-layout-utils" на шкідливу версію, яка розміщена на GitHub. Цей шкідливий пакет може сканувати чутливі файли на комп'ютерах користувачів, шукати інформацію, пов'язану з гаманцями або Закритими ключами, і завантажувати ці дані на сервери, контрольовані зловмисниками.
Дослідження також виявило, що зловмисники могли контролювати кілька облікових записів GitHub, щоб поширювати шкідливе програмне забезпечення та підвищувати популярність проєктів. Вони залучали більше користувачів, розширюючи область атаки шляхом Fork проєктів та збільшення кількості Star. Окрім "crypto-layout-utils", ще один шкідливий пакет під назвою "bs58-encrypt-utils" також використовувався для подібних атак.
За допомогою інструментів аналізу блокчейну команда безпеки виявила, що вкрадені кошти були переведені на певну торгову платформу.
Ця подія підкреслює виклики безпеки, з якими стикається спільнота з відкритим кодом. Зловмисники поєднують соціальну інженерію та технічні засоби, що ускладнює повну оборону від таких атак навіть всередині організацій. Експерти радять розробникам та користувачам бути надзвичайно обережними щодо проектів GitHub з невідомим походженням, особливо коли йдеться про операції з гаманцями або Закритими ключами. Якщо потрібно налагоджувати, краще робити це в ізольованому середовищі, яке не містить чутливих даних.
Насамкінець, команда з безпеки опублікувала ряд шкідливих проектів Node.js на GitHub, назв шкідливих пакетів NPM та їхні посилання для завантаження, а також доменні імена шкідливих серверів, які використовувалися для завантаження даних, для довідки та запобігання з боку спільноти.
Ця подія ще раз нагадує нам, що у світі децентралізації та відкритого коду пильність користувачів і усвідомлення необхідності самозахисту є надзвичайно важливими. Одночасно, це заклик до розробницької спільноти посилити перевірку та управління сторонніми залежностями, щоб спільно підтримувати більш безпечну криптоекосистему.