Ativos de usuários da Solana roubados, pacote NPM malicioso esconde função de roubo de Chave privada
No início de julho de 2025, um utilizador de criptomoedas pediu ajuda à equipa de segurança, afirmando que, após usar um projeto de código aberto no GitHub chamado solana-pumpfun-bot, os ativos da sua carteira foram roubados. Após uma investigação aprofundada, especialistas em segurança revelaram um ataque meticulosamente planeado.
Os investigadores verificaram primeiro o projeto GitHub e descobriram que os tempos de submissão do código eram anormalmente concentrados, faltando características de atualizações contínuas. Após uma análise mais aprofundada das dependências do projeto, encontraram um pacote de terceiros suspeito chamado crypto-layout-utils. Esse pacote foi removido oficialmente do NPM e a versão especificada não está nos registos oficiais.
Ao verificar o arquivo package-lock.json, os especialistas descobriram que o atacante astutamente substituiu o link de download do crypto-layout-utils por um arquivo em um repositório do GitHub. Este pacote substituído foi altamente ofuscado, aumentando a dificuldade de análise. Finalmente, foi confirmado que se tratava de um pacote NPM malicioso, capaz de escanear arquivos sensíveis no computador do usuário e enviar as chaves privadas das carteiras descobertas para um servidor controlado pelo atacante.
A investigação também descobriu que os atacantes podem ter controlado várias contas do GitHub para distribuir programas maliciosos e aumentar a credibilidade dos projetos. Eles aumentaram a popularidade dos projetos através de operações como Fork e Star, induzindo mais usuários a baixar e utilizar. Alguns projetos Fork também usaram outro pacote malicioso bs58-encrypt-utils-1.0.3.
Este ataque combinou engenharia social e técnicas, apresentando um alto grau de engano. Os atacantes disfarçaram-se como um projeto de código aberto legítimo, explorando a confiança dos usuários em projetos do GitHub, levando-os a baixar e executar código com dependências maliciosas, resultando na divulgação da Chave privada e no roubo de ativos.
Especialistas em segurança recomendam que desenvolvedores e usuários mantenham uma alta vigilância sobre projetos do GitHub de origem desconhecida, especialmente aqueles que envolvem operações de carteira ou Chave privada. Se for necessário depurar tais projetos, é melhor fazê-lo em um ambiente independente e sem dados sensíveis.
Este evento destaca os desafios de segurança enfrentados pela comunidade de código aberto, lembrando-nos da necessidade de sermos especialmente cautelosos ao usar código de terceiros, ao mesmo tempo que apela para um reforço da supervisão de segurança do ecossistema de código aberto.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
11 gostos
Recompensa
11
6
Partilhar
Comentar
0/400
GamefiEscapeArtist
· 16h atrás
Hoje em dia, os projetos não verificam a mercadoria?
Ver originalResponder0
Web3ProductManager
· 17h atrás
não vou mentir, essas métricas de retenção sobre ataques npm em sol estão ficando loucas... a taxa de churn de usuários atingindo 100% em horas, de verdade.
Ver originalResponder0
VirtualRichDream
· 17h atrás
Sem palavras, é realmente fácil fazer as pessoas de parvas.
Ver originalResponder0
NFTFreezer
· 17h atrás
Cá cá cá, estão a roubar dinheiro outra vez.
Ver originalResponder0
FlashLoanKing
· 17h atrás
Fui embora, fui embora, olhando para isso dá medo.
Solana Carteira遭遇NPM恶意包攻击 隐藏 Chave privada窃取功能
Ativos de usuários da Solana roubados, pacote NPM malicioso esconde função de roubo de Chave privada
No início de julho de 2025, um utilizador de criptomoedas pediu ajuda à equipa de segurança, afirmando que, após usar um projeto de código aberto no GitHub chamado solana-pumpfun-bot, os ativos da sua carteira foram roubados. Após uma investigação aprofundada, especialistas em segurança revelaram um ataque meticulosamente planeado.
Os investigadores verificaram primeiro o projeto GitHub e descobriram que os tempos de submissão do código eram anormalmente concentrados, faltando características de atualizações contínuas. Após uma análise mais aprofundada das dependências do projeto, encontraram um pacote de terceiros suspeito chamado crypto-layout-utils. Esse pacote foi removido oficialmente do NPM e a versão especificada não está nos registos oficiais.
Ao verificar o arquivo package-lock.json, os especialistas descobriram que o atacante astutamente substituiu o link de download do crypto-layout-utils por um arquivo em um repositório do GitHub. Este pacote substituído foi altamente ofuscado, aumentando a dificuldade de análise. Finalmente, foi confirmado que se tratava de um pacote NPM malicioso, capaz de escanear arquivos sensíveis no computador do usuário e enviar as chaves privadas das carteiras descobertas para um servidor controlado pelo atacante.
A investigação também descobriu que os atacantes podem ter controlado várias contas do GitHub para distribuir programas maliciosos e aumentar a credibilidade dos projetos. Eles aumentaram a popularidade dos projetos através de operações como Fork e Star, induzindo mais usuários a baixar e utilizar. Alguns projetos Fork também usaram outro pacote malicioso bs58-encrypt-utils-1.0.3.
Este ataque combinou engenharia social e técnicas, apresentando um alto grau de engano. Os atacantes disfarçaram-se como um projeto de código aberto legítimo, explorando a confiança dos usuários em projetos do GitHub, levando-os a baixar e executar código com dependências maliciosas, resultando na divulgação da Chave privada e no roubo de ativos.
Especialistas em segurança recomendam que desenvolvedores e usuários mantenham uma alta vigilância sobre projetos do GitHub de origem desconhecida, especialmente aqueles que envolvem operações de carteira ou Chave privada. Se for necessário depurar tais projetos, é melhor fazê-lo em um ambiente independente e sem dados sensíveis.
Este evento destaca os desafios de segurança enfrentados pela comunidade de código aberto, lembrando-nos da necessidade de sermos especialmente cautelosos ao usar código de terceiros, ao mesmo tempo que apela para um reforço da supervisão de segurança do ecossistema de código aberto.