Los usuarios de Solana sufren ataques de paquetes NPM maliciosos, se roban las Llave privada
A principios de julio de 2025, un usuario de Solana pidió ayuda al equipo de seguridad, alegando que sus activos criptográficos habían sido robados. Tras la investigación, se descubrió que se trataba de un ataque que utilizaba un paquete NPM malicioso para robar la llave privada.
El equipo de seguridad llevó a cabo un análisis profundo del incidente. La víctima utilizó un proyecto de código abierto alojado en GitHub llamado solana-pumpfun-bot, que parecía normal y tenía un alto número de estrellas y bifurcaciones. Sin embargo, un examen más detallado reveló que el tiempo de envío del código del proyecto estaba anormalmente concentrado, careciendo de las características de actualizaciones continuas.
El proyecto depende de un paquete de terceros sospechoso llamado crypto-layout-utils. Este paquete ha sido retirado oficialmente de NPM y la versión especificada no aparece en el historial oficial. A través del archivo package-lock.json, se descubrió que el atacante reemplazó el enlace de descarga de este paquete por una dirección personalizada en GitHub.
Después de descargar y analizar este paquete de dependencia altamente ofuscado, el equipo de seguridad confirmó que se trata de un paquete NPM malicioso. Escaneará los archivos sensibles en la computadora del usuario en busca de contenido relacionado con billeteras o Llave privada, y subirá la información encontrada a un servidor controlado por el atacante.
Los atacantes también pueden haber controlado múltiples cuentas de GitHub para distribuir malware y aumentar la credibilidad del proyecto. Algunos proyectos Fork utilizaron otro paquete malicioso, bs58-encrypt-utils. El análisis en cadena muestra que parte de los fondos robados fluyó hacia una plataforma de intercambio.
Este incidente revela cómo los atacantes utilizan proyectos de código abierto disfrazados y paquetes maliciosos de NPM para robar las llaves privadas de los usuarios. La técnica de ataque combina ingeniería social y medios técnicos, siendo altamente engañosa y encubierta.
Al respecto, los expertos en seguridad aconsejan a los desarrolladores y usuarios que mantengan una alta vigilancia sobre los proyectos de GitHub de origen desconocido, especialmente aquellos que involucran operaciones con billeteras o Llave privada. Si es necesario depurar, lo mejor es hacerlo en un entorno independiente y sin datos sensibles.
Este incidente involucra múltiples repositorios maliciosos de GitHub y paquetes de NPM. Los atacantes ocultan su comportamiento malicioso al reemplazar los enlaces de descarga de los paquetes de NPM y utilizar código ofuscado. Después de que las víctimas ejecutan inadvertidamente proyectos que llevan dependencias maliciosas, esto conduce a la filtración de la Llave privada y al robo de activos.
Este tipo de ataques destaca los riesgos de seguridad en el ecosistema de código abierto, recordándonos que debemos mantenernos alerta al usar código de terceros y fortalecer la revisión de los paquetes de dependencia. Al mismo tiempo, las plataformas también deben reforzar la monitorización y gestión de comportamientos maliciosos para mantener conjuntamente un entorno seguro en la comunidad de código abierto.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
23 me gusta
Recompensa
23
4
Compartir
Comentar
0/400
ser_ngmi
· 07-29 13:41
Ah, otra vez~
Ver originalesResponder0
MEVHunterZhang
· 07-28 06:07
Otra vez atrapado, ahora le toca a solana.
Ver originalesResponder0
liquiditea_sipper
· 07-28 06:01
¡No mires más, la Cartera fría asegura la seguridad!
Ver originalesResponder0
PriceOracleFairy
· 07-28 05:44
otro día, otro rugpull de npm smh... la seguridad es un mito en web3
Advertencia de riesgo de robo de Llave privada para usuarios tras un ataque malicioso de paquetes NPM en el ecosistema de Solana
Los usuarios de Solana sufren ataques de paquetes NPM maliciosos, se roban las Llave privada
A principios de julio de 2025, un usuario de Solana pidió ayuda al equipo de seguridad, alegando que sus activos criptográficos habían sido robados. Tras la investigación, se descubrió que se trataba de un ataque que utilizaba un paquete NPM malicioso para robar la llave privada.
El equipo de seguridad llevó a cabo un análisis profundo del incidente. La víctima utilizó un proyecto de código abierto alojado en GitHub llamado solana-pumpfun-bot, que parecía normal y tenía un alto número de estrellas y bifurcaciones. Sin embargo, un examen más detallado reveló que el tiempo de envío del código del proyecto estaba anormalmente concentrado, careciendo de las características de actualizaciones continuas.
El proyecto depende de un paquete de terceros sospechoso llamado crypto-layout-utils. Este paquete ha sido retirado oficialmente de NPM y la versión especificada no aparece en el historial oficial. A través del archivo package-lock.json, se descubrió que el atacante reemplazó el enlace de descarga de este paquete por una dirección personalizada en GitHub.
Después de descargar y analizar este paquete de dependencia altamente ofuscado, el equipo de seguridad confirmó que se trata de un paquete NPM malicioso. Escaneará los archivos sensibles en la computadora del usuario en busca de contenido relacionado con billeteras o Llave privada, y subirá la información encontrada a un servidor controlado por el atacante.
Los atacantes también pueden haber controlado múltiples cuentas de GitHub para distribuir malware y aumentar la credibilidad del proyecto. Algunos proyectos Fork utilizaron otro paquete malicioso, bs58-encrypt-utils. El análisis en cadena muestra que parte de los fondos robados fluyó hacia una plataforma de intercambio.
Este incidente revela cómo los atacantes utilizan proyectos de código abierto disfrazados y paquetes maliciosos de NPM para robar las llaves privadas de los usuarios. La técnica de ataque combina ingeniería social y medios técnicos, siendo altamente engañosa y encubierta.
Al respecto, los expertos en seguridad aconsejan a los desarrolladores y usuarios que mantengan una alta vigilancia sobre los proyectos de GitHub de origen desconocido, especialmente aquellos que involucran operaciones con billeteras o Llave privada. Si es necesario depurar, lo mejor es hacerlo en un entorno independiente y sin datos sensibles.
Este incidente involucra múltiples repositorios maliciosos de GitHub y paquetes de NPM. Los atacantes ocultan su comportamiento malicioso al reemplazar los enlaces de descarga de los paquetes de NPM y utilizar código ofuscado. Después de que las víctimas ejecutan inadvertidamente proyectos que llevan dependencias maliciosas, esto conduce a la filtración de la Llave privada y al robo de activos.
Este tipo de ataques destaca los riesgos de seguridad en el ecosistema de código abierto, recordándonos que debemos mantenernos alerta al usar código de terceros y fortalecer la revisión de los paquetes de dependencia. Al mismo tiempo, las plataformas también deben reforzar la monitorización y gestión de comportamientos maliciosos para mantener conjuntamente un entorno seguro en la comunidad de código abierto.