Користувачі Solana зазнали крадіжки активів, зловмисний пакет NPM містить функцію крадіжки закритого ключа
На початку липня 2025 року користувач криптовалюти звернувся до команди безпеки з проханням про допомогу, стверджуючи, що його гаманцеві активи було вкрадено після використання проекту з відкритим вихідним кодом під назвою solana-pumpfun-bot на GitHub. Після глибокого розслідування, експерти з безпеки розкрили ретельно сплановану атаку.
Дослідники спочатку перевірили цей проект на GitHub і виявили, що часи комітів коду аномально зосереджені, відсутні характеристики постійних оновлень. Подальший аналіз залежностей проекту виявив підозрілий пакет третьої сторони crypto-layout-utils. Цей пакет був видалений з офіційного NPM, і зазначена версія не входить до офіційної історії.
Перевіряючи файл package-lock.json, експерти виявили, що зловмисники хитро замінили посилання для завантаження crypto-layout-utils на файл з репозиторію GitHub. Цей замінений пакет був сильно замаскований, що ускладнювало його аналіз. Врешті-решт було підтверджено, що це шкідливий пакет NPM, який може сканувати чутливі файли на комп'ютері користувача та завантажувати знайдені приватні ключі гаманців на сервер, контрольований зловмисниками.
Дослідження також виявило, що зловмисники можуть контролювати кілька облікових записів GitHub, які використовуються для розповсюдження шкідливого програмного забезпечення та підвищення довіри до проєктів. Вони використовують такі дії, як Fork і Star, щоб збільшити популярність проєктів, спонукаючи більше користувачів завантажувати і використовувати їх. У деяких Fork-проєктах також використовувався ще один шкідливий пакет bs58-encrypt-utils-1.0.3.
Цей напад поєднував соціальну інженерію та технічні засоби, має дуже сильну обманливість. Зловмисники маскувалися під законні проекти з відкритим кодом, використовуючи довіру користувачів до проектів на GitHub, що спонукало їх завантажити та запустити код з шкідливими залежностями, в результаті чого відбувся витік закритого ключа та крадіжка активів.
Експерти з безпеки рекомендують розробникам і користувачам бути надзвичайно обережними щодо невідомих проектів на GitHub, особливо коли йдеться про операції з гаманцями або Закритими ключами. Якщо потрібно налагоджувати такі проекти, краще робити це в ізольованому середовищі, яке не містить чутливих даних.
Ця подія підкреслює безпекові виклики, з якими стикається спільнота з відкритим кодом, нагадуючи нам про необхідність особливої обережності при використанні стороннього коду, а також закликаючи до посилення безпекового контролю в екосистемі з відкритим кодом.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
11 лайків
Нагородити
11
6
Поділіться
Прокоментувати
0/400
GamefiEscapeArtist
· 10год тому
У ці часи проекти навіть не перевіряють товар?
Переглянути оригіналвідповісти на0
Web3ProductManager
· 10год тому
чесно кажучи, ці показники утримання щодо атак sol npm стають дикими... рівень втрати користувачів досягає 100% за кілька годин, серйозно.
Гаманець Solana зазнав атаки зловмисного пакету NPM, що приховує функцію крадіжки закритого ключа.
Користувачі Solana зазнали крадіжки активів, зловмисний пакет NPM містить функцію крадіжки закритого ключа
На початку липня 2025 року користувач криптовалюти звернувся до команди безпеки з проханням про допомогу, стверджуючи, що його гаманцеві активи було вкрадено після використання проекту з відкритим вихідним кодом під назвою solana-pumpfun-bot на GitHub. Після глибокого розслідування, експерти з безпеки розкрили ретельно сплановану атаку.
Дослідники спочатку перевірили цей проект на GitHub і виявили, що часи комітів коду аномально зосереджені, відсутні характеристики постійних оновлень. Подальший аналіз залежностей проекту виявив підозрілий пакет третьої сторони crypto-layout-utils. Цей пакет був видалений з офіційного NPM, і зазначена версія не входить до офіційної історії.
Перевіряючи файл package-lock.json, експерти виявили, що зловмисники хитро замінили посилання для завантаження crypto-layout-utils на файл з репозиторію GitHub. Цей замінений пакет був сильно замаскований, що ускладнювало його аналіз. Врешті-решт було підтверджено, що це шкідливий пакет NPM, який може сканувати чутливі файли на комп'ютері користувача та завантажувати знайдені приватні ключі гаманців на сервер, контрольований зловмисниками.
Дослідження також виявило, що зловмисники можуть контролювати кілька облікових записів GitHub, які використовуються для розповсюдження шкідливого програмного забезпечення та підвищення довіри до проєктів. Вони використовують такі дії, як Fork і Star, щоб збільшити популярність проєктів, спонукаючи більше користувачів завантажувати і використовувати їх. У деяких Fork-проєктах також використовувався ще один шкідливий пакет bs58-encrypt-utils-1.0.3.
Цей напад поєднував соціальну інженерію та технічні засоби, має дуже сильну обманливість. Зловмисники маскувалися під законні проекти з відкритим кодом, використовуючи довіру користувачів до проектів на GitHub, що спонукало їх завантажити та запустити код з шкідливими залежностями, в результаті чого відбувся витік закритого ключа та крадіжка активів.
Експерти з безпеки рекомендують розробникам і користувачам бути надзвичайно обережними щодо невідомих проектів на GitHub, особливо коли йдеться про операції з гаманцями або Закритими ключами. Якщо потрібно налагоджувати такі проекти, краще робити це в ізольованому середовищі, яке не містить чутливих даних.
Ця подія підкреслює безпекові виклики, з якими стикається спільнота з відкритим кодом, нагадуючи нам про необхідність особливої обережності при використанні стороннього коду, а також закликаючи до посилення безпекового контролю в екосистемі з відкритим кодом.