Usuários de Solana sofrem ataque de pacotes NPM maliciosos, Chave privada roubada
No início de julho de 2025, um usuário de Solana pediu ajuda à equipe de segurança, alegando que seus ativos criptográficos haviam sido roubados. Após investigação, descobriu-se que se tratava de um ataque que utilizava um pacote NPM malicioso para roubar a chave privada.
A equipe de segurança realizou uma análise aprofundada do incidente. A vítima utilizou um projeto de código aberto hospedado no GitHub, solana-pumpfun-bot, que parecia normal, com um número elevado de estrelas e forks. No entanto, uma inspeção mais detalhada revelou que o tempo de submissão do código do projeto era anormalmente concentrado, faltando características de atualizações contínuas.
O projeto depende de um pacote de terceiros suspeito chamado crypto-layout-utils. Este pacote foi removido oficialmente do NPM, e a versão especificada não aparece no histórico oficial. Através do arquivo package-lock.json, foi descoberto que o atacante substituiu o link de download desse pacote por um endereço personalizado no GitHub.
Após baixar e analisar este pacote de dependência altamente ofuscado, a equipe de segurança confirmou que se trata de um pacote NPM malicioso. Ele escaneia arquivos sensíveis no computador do usuário em busca de conteúdo relacionado a carteiras ou Chave privada, e envia as informações encontradas para um servidor controlado pelo atacante.
Os atacantes também podem ter controlado várias contas do GitHub para distribuir programas maliciosos e aumentar a credibilidade do projeto. Alguns projetos Fork usaram outro pacote malicioso chamado bs58-encrypt-utils. A análise on-chain mostra que parte dos fundos roubados fluiu para uma plataforma de negociação.
Este incidente revela como os atacantes utilizam projetos de código aberto disfarçados e pacotes NPM maliciosos para roubar as chaves privadas dos usuários. A técnica de ataque combina engenharia social e métodos técnicos, apresentando um alto grau de engano e encobrimento.
Em relação a isso, especialistas em segurança recomendam que desenvolvedores e usuários mantenham alta vigilância em relação a projetos do GitHub de origem desconhecida, especialmente aqueles que envolvem operações com carteiras ou Chave privada. Se precisar debugar, é melhor fazê-lo em um ambiente isolado e sem dados sensíveis.
Este incidente envolve vários repositórios maliciosos do GitHub e pacotes NPM. Os atacantes ocultaram comportamentos maliciosos substituindo os links de download dos pacotes NPM e utilizando código ofuscado. Os vítimas, ao executarem inadvertidamente projetos com dependências maliciosas, resultaram em vazamento de Chave privada e roubo de ativos.
Este tipo de ataque destaca os riscos de segurança no ecossistema de código aberto, lembrando-nos da necessidade de manter vigilância ao usar código de terceiros e de reforçar a revisão dos pacotes de dependência. Ao mesmo tempo, as plataformas também devem intensificar a monitorização e o tratamento de comportamentos maliciosos, para juntos mantermos um ambiente seguro na comunidade de código aberto.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
17 gostos
Recompensa
17
4
Partilhar
Comentar
0/400
ser_ngmi
· 19h atrás
Ah, lá vem mais uma vez~
Ver originalResponder0
MEVHunterZhang
· 07-28 06:07
Outra vez preso! É a vez do solana.
Ver originalResponder0
liquiditea_sipper
· 07-28 06:01
Não olhe mais! A carteira fria mantém a segurança!
Ver originalResponder0
PriceOracleFairy
· 07-28 05:44
mais um dia, mais um rugpull npm smh... a segurança é um mito no web3
Alerta de risco de roubo de Chave privada dos usuários devido a ataque malicioso de pacote NPM no ecossistema Solana
Usuários de Solana sofrem ataque de pacotes NPM maliciosos, Chave privada roubada
No início de julho de 2025, um usuário de Solana pediu ajuda à equipe de segurança, alegando que seus ativos criptográficos haviam sido roubados. Após investigação, descobriu-se que se tratava de um ataque que utilizava um pacote NPM malicioso para roubar a chave privada.
A equipe de segurança realizou uma análise aprofundada do incidente. A vítima utilizou um projeto de código aberto hospedado no GitHub, solana-pumpfun-bot, que parecia normal, com um número elevado de estrelas e forks. No entanto, uma inspeção mais detalhada revelou que o tempo de submissão do código do projeto era anormalmente concentrado, faltando características de atualizações contínuas.
O projeto depende de um pacote de terceiros suspeito chamado crypto-layout-utils. Este pacote foi removido oficialmente do NPM, e a versão especificada não aparece no histórico oficial. Através do arquivo package-lock.json, foi descoberto que o atacante substituiu o link de download desse pacote por um endereço personalizado no GitHub.
Após baixar e analisar este pacote de dependência altamente ofuscado, a equipe de segurança confirmou que se trata de um pacote NPM malicioso. Ele escaneia arquivos sensíveis no computador do usuário em busca de conteúdo relacionado a carteiras ou Chave privada, e envia as informações encontradas para um servidor controlado pelo atacante.
Os atacantes também podem ter controlado várias contas do GitHub para distribuir programas maliciosos e aumentar a credibilidade do projeto. Alguns projetos Fork usaram outro pacote malicioso chamado bs58-encrypt-utils. A análise on-chain mostra que parte dos fundos roubados fluiu para uma plataforma de negociação.
Este incidente revela como os atacantes utilizam projetos de código aberto disfarçados e pacotes NPM maliciosos para roubar as chaves privadas dos usuários. A técnica de ataque combina engenharia social e métodos técnicos, apresentando um alto grau de engano e encobrimento.
Em relação a isso, especialistas em segurança recomendam que desenvolvedores e usuários mantenham alta vigilância em relação a projetos do GitHub de origem desconhecida, especialmente aqueles que envolvem operações com carteiras ou Chave privada. Se precisar debugar, é melhor fazê-lo em um ambiente isolado e sem dados sensíveis.
Este incidente envolve vários repositórios maliciosos do GitHub e pacotes NPM. Os atacantes ocultaram comportamentos maliciosos substituindo os links de download dos pacotes NPM e utilizando código ofuscado. Os vítimas, ao executarem inadvertidamente projetos com dependências maliciosas, resultaram em vazamento de Chave privada e roubo de ativos.
Este tipo de ataque destaca os riscos de segurança no ecossistema de código aberto, lembrando-nos da necessidade de manter vigilância ao usar código de terceiros e de reforçar a revisão dos pacotes de dependência. Ao mesmo tempo, as plataformas também devem intensificar a monitorização e o tratamento de comportamentos maliciosos, para juntos mantermos um ambiente seguro na comunidade de código aberto.