Phân tích sự cố tài sản của người dùng Solana bị đánh cắp: Gói NPM độc hại đánh cắp Khóa riêng
Vào đầu tháng 7 năm 2025, một người dùng đã yêu cầu sự trợ giúp từ đội ngũ an ninh, cho biết rằng tài sản tiền điện tử của họ đã bị đánh cắp sau khi sử dụng một dự án mã nguồn mở có tên là solana-pumpfun-bot trên GitHub. Qua điều tra, sự kiện này đã tiết lộ một chuỗi tấn công được lên kế hoạch tỉ mỉ, liên quan đến các gói NPM độc hại, các dự án GitHub giả mạo và các phương pháp kỹ thuật xã hội.
Điều tra sự kiện
Đội ngũ an ninh đã truy cập vào kho GitHub liên quan và phát hiện rằng dự án này mặc dù có số lượng Star và Fork cao nhưng việc cập nhật mã có sự tập trung bất thường, thiếu đặc điểm bảo trì liên tục. Phân tích sâu hơn cho thấy dự án phụ thuộc vào một gói bên thứ ba nghi ngờ có tên crypto-layout-utils, gói này đã bị NPM chính thức gỡ bỏ.
Bằng cách kiểm tra tệp package-lock.json, các nhà nghiên cứu phát hiện ra rằng kẻ tấn công đã thay thế liên kết tải xuống của crypto-layout-utils bằng một địa chỉ phát hành GitHub. Sau khi tải xuống và phân tích gói phụ thuộc bị làm rối này, đã xác nhận rằng nó chứa mã độc, có khả năng quét tệp máy tính của người dùng và tải lên thông tin nhạy cảm.
Phương pháp tấn công
Kẻ tấn công nghi ngờ đã kiểm soát nhiều tài khoản GitHub để phân phối các dự án độc hại và nâng cao độ tin cậy của chúng. Họ đã nâng cao độ phổ biến của dự án thông qua các thao tác Fork và Star, thu hút nhiều người dùng hơn quan tâm và sử dụng. Ngoài crypto-layout-utils, còn phát hiện một gói độc hại khác có tên là bs58-encrypt-utils tham gia vào cuộc tấn công.
Sử dụng công cụ phân tích trên chuỗi để theo dõi, phát hiện rằng số tiền bị đánh cắp cuối cùng đã chảy vào một nền tảng giao dịch nào đó.
Tóm tắt và đề xuất
Cuộc tấn công lần này khéo léo kết hợp giữa các phương tiện kỹ thuật và chiến lược kỹ thuật xã hội. Kẻ tấn công ngụy trang thành các dự án mã nguồn mở hợp pháp, dụ dỗ người dùng tải xuống và chạy các chương trình Node.js chứa các phụ thuộc độc hại, từ đó đánh cắp khóa riêng của ví và tài sản.
Để phòng ngừa các cuộc tấn công tương tự, đề xuất các nhà phát triển và người dùng:
Giữ cảnh giác cao đối với các dự án GitHub có nguồn gốc không rõ ràng, đặc biệt là các dự án liên quan đến ví hoặc Khóa riêng.
Chạy và gỡ lỗi mã không quen thuộc trong môi trường độc lập và không có dữ liệu nhạy cảm.
Thường xuyên kiểm tra các phụ thuộc của dự án, đảm bảo sử dụng các gói được chứng nhận chính thức.
Theo dõi lịch sử cập nhật của dự án và phản hồi từ cộng đồng, cần đề phòng những dự án bỗng nhiên nổi tiếng nhưng thiếu sự bảo trì lâu dài.
Sự kiện này một lần nữa nhắc nhở chúng ta rằng, trong một hệ sinh thái mã nguồn mở, nhận thức về an ninh và thái độ thận trọng là vô cùng quan trọng.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
16 thích
Phần thưởng
16
5
Chia sẻ
Bình luận
0/400
DYORMaster
· 07-21 23:59
Lại một dự án bẫy bị đánh cắp.
Xem bản gốcTrả lời0
FomoAnxiety
· 07-21 10:38
Gió bão ai sẽ giữ khóa riêng trên mạng nhỉ?
Xem bản gốcTrả lời0
ForkThisDAO
· 07-19 01:48
Lại xảy ra sự cố rồi, hợp đồng thông minh có thể cao có thể thấp.
Solana遭遇Chuỗi cung ứng攻击:恶意NPM包窃取用户Khóa riêng和资产
Phân tích sự cố tài sản của người dùng Solana bị đánh cắp: Gói NPM độc hại đánh cắp Khóa riêng
Vào đầu tháng 7 năm 2025, một người dùng đã yêu cầu sự trợ giúp từ đội ngũ an ninh, cho biết rằng tài sản tiền điện tử của họ đã bị đánh cắp sau khi sử dụng một dự án mã nguồn mở có tên là solana-pumpfun-bot trên GitHub. Qua điều tra, sự kiện này đã tiết lộ một chuỗi tấn công được lên kế hoạch tỉ mỉ, liên quan đến các gói NPM độc hại, các dự án GitHub giả mạo và các phương pháp kỹ thuật xã hội.
Điều tra sự kiện
Đội ngũ an ninh đã truy cập vào kho GitHub liên quan và phát hiện rằng dự án này mặc dù có số lượng Star và Fork cao nhưng việc cập nhật mã có sự tập trung bất thường, thiếu đặc điểm bảo trì liên tục. Phân tích sâu hơn cho thấy dự án phụ thuộc vào một gói bên thứ ba nghi ngờ có tên crypto-layout-utils, gói này đã bị NPM chính thức gỡ bỏ.
Bằng cách kiểm tra tệp package-lock.json, các nhà nghiên cứu phát hiện ra rằng kẻ tấn công đã thay thế liên kết tải xuống của crypto-layout-utils bằng một địa chỉ phát hành GitHub. Sau khi tải xuống và phân tích gói phụ thuộc bị làm rối này, đã xác nhận rằng nó chứa mã độc, có khả năng quét tệp máy tính của người dùng và tải lên thông tin nhạy cảm.
Phương pháp tấn công
Kẻ tấn công nghi ngờ đã kiểm soát nhiều tài khoản GitHub để phân phối các dự án độc hại và nâng cao độ tin cậy của chúng. Họ đã nâng cao độ phổ biến của dự án thông qua các thao tác Fork và Star, thu hút nhiều người dùng hơn quan tâm và sử dụng. Ngoài crypto-layout-utils, còn phát hiện một gói độc hại khác có tên là bs58-encrypt-utils tham gia vào cuộc tấn công.
Sử dụng công cụ phân tích trên chuỗi để theo dõi, phát hiện rằng số tiền bị đánh cắp cuối cùng đã chảy vào một nền tảng giao dịch nào đó.
Tóm tắt và đề xuất
Cuộc tấn công lần này khéo léo kết hợp giữa các phương tiện kỹ thuật và chiến lược kỹ thuật xã hội. Kẻ tấn công ngụy trang thành các dự án mã nguồn mở hợp pháp, dụ dỗ người dùng tải xuống và chạy các chương trình Node.js chứa các phụ thuộc độc hại, từ đó đánh cắp khóa riêng của ví và tài sản.
Để phòng ngừa các cuộc tấn công tương tự, đề xuất các nhà phát triển và người dùng:
Sự kiện này một lần nữa nhắc nhở chúng ta rằng, trong một hệ sinh thái mã nguồn mở, nhận thức về an ninh và thái độ thận trọng là vô cùng quan trọng.