Phân tích sự kiện đánh cắp khóa riêng của tài sản người dùng Solana: Gói NPM độc hại đánh cắp khóa riêng
Vào đầu tháng 7 năm 2025, một vụ trộm tài sản nhằm vào người dùng Solana đã thu hút sự chú ý của các chuyên gia an ninh. Sự việc bắt nguồn từ một người dùng sau khi sử dụng dự án mã nguồn mở "solana-pumpfun-bot" được lưu trữ trên GitHub, phát hiện tài sản tiền điện tử của mình đã bị đánh cắp.
Sau khi nhóm an ninh tiến hành điều tra sự kiện này, họ phát hiện ra rằng kẻ tấn công đã giả mạo thành một dự án mã nguồn mở hợp pháp, dụ dỗ người dùng tải xuống và chạy một dự án Node.js chứa mã độc. Dự án này phụ thuộc vào một gói bên thứ ba nghi ngờ có tên "crypto-layout-utils", gói này đã bị NPM chính thức gỡ bỏ.
Phân tích sâu cho thấy, kẻ tấn công đã khéo léo thay thế liên kết tải xuống của "crypto-layout-utils" bằng một phiên bản độc hại được lưu trữ trên GitHub. Gói độc hại này có khả năng quét các tệp nhạy cảm trên máy tính của người dùng, tìm kiếm thông tin liên quan đến ví hoặc khóa riêng, và tải những dữ liệu này lên máy chủ do kẻ tấn công kiểm soát.
Cuộc điều tra cũng tiết lộ rằng các kẻ tấn công có thể đã kiểm soát nhiều tài khoản GitHub để phân phối phần mềm độc hại và tăng độ nổi bật của các dự án. Họ đã thu hút thêm người dùng và mở rộng phạm vi tấn công bằng cách Fork các dự án và tăng số lượng Star. Ngoài "crypto-layout-utils", một gói độc hại khác có tên "bs58-encrypt-utils" cũng đã được sử dụng cho các cuộc tấn công tương tự.
Thông qua công cụ phân tích blockchain, đội ngũ an ninh phát hiện rằng số tiền bị đánh cắp đã được chuyển đến một nền tảng giao dịch nào đó.
Sự kiện này đã làm nổi bật những thách thức về an ninh mà cộng đồng mã nguồn mở đang phải đối mặt. Kẻ tấn công kết hợp giữa kỹ thuật xã hội và các phương pháp kỹ thuật, khiến cho ngay cả trong tổ chức cũng khó có thể hoàn toàn phòng ngừa những cuộc tấn công như vậy. Các chuyên gia khuyên các nhà phát triển và người dùng nên giữ cảnh giác cao đối với các dự án GitHub không rõ nguồn gốc, đặc biệt là những dự án liên quan đến ví hoặc Khóa riêng. Nếu cần debug, tốt nhất nên thực hiện trong môi trường cách ly và không chứa dữ liệu nhạy cảm.
Cuối cùng, đội an ninh đã công bố một loạt các kho GitHub dự án Node.js độc hại liên quan đến cuộc tấn công này, tên của các gói NPM độc hại và liên kết tải xuống của chúng, cũng như tên miền của máy chủ độc hại được sử dụng để tải dữ liệu, để cộng đồng tham khảo và phòng ngừa.
Sự kiện này một lần nữa nhắc nhở chúng ta rằng, trong thế giới phi tập trung và mã nguồn mở, sự cảnh giác và ý thức tự bảo vệ của người dùng là vô cùng quan trọng. Đồng thời, cũng kêu gọi cộng đồng phát triển tăng cường việc kiểm tra và quản lý các phụ thuộc bên thứ ba, cùng nhau duy trì một hệ sinh thái tiền điện tử an toàn hơn.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
20 thích
Phần thưởng
20
6
Chia sẻ
Bình luận
0/400
MevWhisperer
· 07-29 17:56
又来一波 đồ ngốc chơi đùa với mọi người 溜了溜了
Xem bản gốcTrả lời0
VitaliksTwin
· 07-29 11:24
Thảm họa lớn của Blockchain lại đến rồi.
Xem bản gốcTrả lời0
CryptoHistoryClass
· 07-29 03:10
*kiểm tra các biểu đồ từ các sự cố npm năm 2020* bẫy hũ mật ong cũ như mọi khi, thật sự không có gì thay đổi...
Xem bản gốcTrả lời0
FortuneTeller42
· 07-29 03:09
Nút đều không an toàn nữa rồi, đời sống này.
Xem bản gốcTrả lời0
NewPumpamentals
· 07-29 03:06
Người nghiêm túc ai lại tải gói npm chứ?
Xem bản gốcTrả lời0
ForkMonger
· 07-29 03:06
chỉ là một giao thức darwinism đang hoạt động... bảo mật yếu = chọn lọc tự nhiên thật ra
Phân tích sự kiện khóa riêng của người dùng bị đánh cắp do tấn công gói NPM độc hại trên Solana
Phân tích sự kiện đánh cắp khóa riêng của tài sản người dùng Solana: Gói NPM độc hại đánh cắp khóa riêng
Vào đầu tháng 7 năm 2025, một vụ trộm tài sản nhằm vào người dùng Solana đã thu hút sự chú ý của các chuyên gia an ninh. Sự việc bắt nguồn từ một người dùng sau khi sử dụng dự án mã nguồn mở "solana-pumpfun-bot" được lưu trữ trên GitHub, phát hiện tài sản tiền điện tử của mình đã bị đánh cắp.
Sau khi nhóm an ninh tiến hành điều tra sự kiện này, họ phát hiện ra rằng kẻ tấn công đã giả mạo thành một dự án mã nguồn mở hợp pháp, dụ dỗ người dùng tải xuống và chạy một dự án Node.js chứa mã độc. Dự án này phụ thuộc vào một gói bên thứ ba nghi ngờ có tên "crypto-layout-utils", gói này đã bị NPM chính thức gỡ bỏ.
Phân tích sâu cho thấy, kẻ tấn công đã khéo léo thay thế liên kết tải xuống của "crypto-layout-utils" bằng một phiên bản độc hại được lưu trữ trên GitHub. Gói độc hại này có khả năng quét các tệp nhạy cảm trên máy tính của người dùng, tìm kiếm thông tin liên quan đến ví hoặc khóa riêng, và tải những dữ liệu này lên máy chủ do kẻ tấn công kiểm soát.
Cuộc điều tra cũng tiết lộ rằng các kẻ tấn công có thể đã kiểm soát nhiều tài khoản GitHub để phân phối phần mềm độc hại và tăng độ nổi bật của các dự án. Họ đã thu hút thêm người dùng và mở rộng phạm vi tấn công bằng cách Fork các dự án và tăng số lượng Star. Ngoài "crypto-layout-utils", một gói độc hại khác có tên "bs58-encrypt-utils" cũng đã được sử dụng cho các cuộc tấn công tương tự.
Thông qua công cụ phân tích blockchain, đội ngũ an ninh phát hiện rằng số tiền bị đánh cắp đã được chuyển đến một nền tảng giao dịch nào đó.
Sự kiện này đã làm nổi bật những thách thức về an ninh mà cộng đồng mã nguồn mở đang phải đối mặt. Kẻ tấn công kết hợp giữa kỹ thuật xã hội và các phương pháp kỹ thuật, khiến cho ngay cả trong tổ chức cũng khó có thể hoàn toàn phòng ngừa những cuộc tấn công như vậy. Các chuyên gia khuyên các nhà phát triển và người dùng nên giữ cảnh giác cao đối với các dự án GitHub không rõ nguồn gốc, đặc biệt là những dự án liên quan đến ví hoặc Khóa riêng. Nếu cần debug, tốt nhất nên thực hiện trong môi trường cách ly và không chứa dữ liệu nhạy cảm.
Cuối cùng, đội an ninh đã công bố một loạt các kho GitHub dự án Node.js độc hại liên quan đến cuộc tấn công này, tên của các gói NPM độc hại và liên kết tải xuống của chúng, cũng như tên miền của máy chủ độc hại được sử dụng để tải dữ liệu, để cộng đồng tham khảo và phòng ngừa.
Sự kiện này một lần nữa nhắc nhở chúng ta rằng, trong thế giới phi tập trung và mã nguồn mở, sự cảnh giác và ý thức tự bảo vệ của người dùng là vô cùng quan trọng. Đồng thời, cũng kêu gọi cộng đồng phát triển tăng cường việc kiểm tra và quản lý các phụ thuộc bên thứ ba, cùng nhau duy trì một hệ sinh thái tiền điện tử an toàn hơn.