Les utilisateurs de Solana victimes d'attaques de paquets NPM malveillants, leur clé privée a été volée
Début juillet 2025, un utilisateur de Solana a demandé de l'aide à l'équipe de sécurité, affirmant que ses actifs cryptographiques avaient été volés. L'enquête a révélé qu'il s'agissait d'une attaque exploitant un package NPM malveillant pour voler des clés privées.
L'équipe de sécurité a mené une analyse approfondie de l'incident. La victime a utilisé un projet open source hébergé sur GitHub, solana-pumpfun-bot, qui semblait normal et avait un nombre élevé d'étoiles et de forks. Cependant, un examen plus approfondi a révélé que les dates de soumission du code du projet étaient anormalement concentrées, manquant de caractéristiques de mise à jour continue.
Le projet dépend d'un package tiers suspect nommé crypto-layout-utils. Ce package a été retiré par l'autorité NPM, et la version spécifiée n'apparaît pas dans l'historique officiel. En examinant le fichier package-lock.json, il a été découvert que l'attaquant avait remplacé le lien de téléchargement de ce package par une adresse personnalisée sur GitHub.
Après avoir téléchargé et analysé ce paquet de dépendance hautement obfusqué, l'équipe de sécurité a confirmé qu'il s'agissait d'un paquet NPM malveillant. Il scanne les fichiers sensibles sur l'ordinateur de l'utilisateur à la recherche de contenu lié aux portefeuilles ou aux Clés privées, et télécharge les informations trouvées sur un serveur contrôlé par l'attaquant.
Les attaquants ont également pu contrôler plusieurs comptes GitHub pour distribuer des logiciels malveillants et augmenter la crédibilité des projets. Certains projets Fork ont utilisé un autre package malveillant bs58-encrypt-utils. L'analyse sur la chaîne montre qu'une partie des fonds volés a été transférée sur une plateforme d'échange.
Cet incident révèle comment les attaquants utilisent des projets open source déguisés et des paquets NPM malveillants pour voler les clés privées des utilisateurs. La méthode d'attaque combine l'ingénierie sociale et des techniques techniques, présentant une forte capacité de tromperie et de dissimulation.
À cet égard, les experts en sécurité conseillent aux développeurs et aux utilisateurs de rester extrêmement vigilants face aux projets GitHub d'origine inconnue, en particulier lorsqu'il s'agit d'opérations liées aux portefeuilles ou aux clés privées. En cas de besoin de débogage, il est préférable de le faire dans un environnement isolé et sans données sensibles.
Cet incident implique plusieurs dépôts GitHub malveillants et des paquets NPM. Les attaquants ont caché leurs actions malveillantes en remplaçant les liens de téléchargement des paquets NPM et en utilisant du code obfusqué. Les victimes ont, sans le savoir, exécuté des projets contenant des dépendances malveillantes, entraînant la fuite de leur Clé privée et le vol de leurs actifs.
Cette attaque met en évidence les risques de sécurité dans l'écosystème open source, nous rappelant de rester vigilants lors de l'utilisation de code tiers et de renforcer l'examen des paquets de dépendance. En même temps, les plateformes doivent également renforcer la surveillance et le traitement des comportements malveillants pour maintenir ensemble un environnement sécurisé dans la communauté open source.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
23 J'aime
Récompense
23
4
Partager
Commentaire
0/400
ser_ngmi
· 07-29 13:41
Ah, encore une fois~
Voir l'originalRépondre0
MEVHunterZhang
· 07-28 06:07
Encore piégé ! C'est le tour de solana.
Voir l'originalRépondre0
liquiditea_sipper
· 07-28 06:01
Ne regardez plus, le Cold Wallet assure la sécurité !
Voir l'originalRépondre0
PriceOracleFairy
· 07-28 05:44
un autre jour, un autre rugpull npm smh... la sécurité est un mythe dans le web3
Alerte sur le risque de vol de Clé privée des utilisateurs suite à une attaque malveillante de paquets NPM dans l'écosystème Solana.
Les utilisateurs de Solana victimes d'attaques de paquets NPM malveillants, leur clé privée a été volée
Début juillet 2025, un utilisateur de Solana a demandé de l'aide à l'équipe de sécurité, affirmant que ses actifs cryptographiques avaient été volés. L'enquête a révélé qu'il s'agissait d'une attaque exploitant un package NPM malveillant pour voler des clés privées.
L'équipe de sécurité a mené une analyse approfondie de l'incident. La victime a utilisé un projet open source hébergé sur GitHub, solana-pumpfun-bot, qui semblait normal et avait un nombre élevé d'étoiles et de forks. Cependant, un examen plus approfondi a révélé que les dates de soumission du code du projet étaient anormalement concentrées, manquant de caractéristiques de mise à jour continue.
Le projet dépend d'un package tiers suspect nommé crypto-layout-utils. Ce package a été retiré par l'autorité NPM, et la version spécifiée n'apparaît pas dans l'historique officiel. En examinant le fichier package-lock.json, il a été découvert que l'attaquant avait remplacé le lien de téléchargement de ce package par une adresse personnalisée sur GitHub.
Après avoir téléchargé et analysé ce paquet de dépendance hautement obfusqué, l'équipe de sécurité a confirmé qu'il s'agissait d'un paquet NPM malveillant. Il scanne les fichiers sensibles sur l'ordinateur de l'utilisateur à la recherche de contenu lié aux portefeuilles ou aux Clés privées, et télécharge les informations trouvées sur un serveur contrôlé par l'attaquant.
Les attaquants ont également pu contrôler plusieurs comptes GitHub pour distribuer des logiciels malveillants et augmenter la crédibilité des projets. Certains projets Fork ont utilisé un autre package malveillant bs58-encrypt-utils. L'analyse sur la chaîne montre qu'une partie des fonds volés a été transférée sur une plateforme d'échange.
Cet incident révèle comment les attaquants utilisent des projets open source déguisés et des paquets NPM malveillants pour voler les clés privées des utilisateurs. La méthode d'attaque combine l'ingénierie sociale et des techniques techniques, présentant une forte capacité de tromperie et de dissimulation.
À cet égard, les experts en sécurité conseillent aux développeurs et aux utilisateurs de rester extrêmement vigilants face aux projets GitHub d'origine inconnue, en particulier lorsqu'il s'agit d'opérations liées aux portefeuilles ou aux clés privées. En cas de besoin de débogage, il est préférable de le faire dans un environnement isolé et sans données sensibles.
Cet incident implique plusieurs dépôts GitHub malveillants et des paquets NPM. Les attaquants ont caché leurs actions malveillantes en remplaçant les liens de téléchargement des paquets NPM et en utilisant du code obfusqué. Les victimes ont, sans le savoir, exécuté des projets contenant des dépendances malveillantes, entraînant la fuite de leur Clé privée et le vol de leurs actifs.
Cette attaque met en évidence les risques de sécurité dans l'écosystème open source, nous rappelant de rester vigilants lors de l'utilisation de code tiers et de renforcer l'examen des paquets de dépendance. En même temps, les plateformes doivent également renforcer la surveillance et le traitement des comportements malveillants pour maintenir ensemble un environnement sécurisé dans la communauté open source.