Пользователи Solana подверглись атаке вредоносного пакета NPM, закрытый ключ был украден
В начале июля 2025 года пользователь Solana обратился за помощью к команде безопасности, сообщив, что его криптоактивы были украдены. В ходе расследования было установлено, что это был случай атаки с использованием злонамеренного NPM-пакета для кражи Закрытого ключа.
Команда безопасности провела глубокий анализ инцидента. Жертва использовала открытый проект solana-pumpfun-bot, размещенный на GitHub, который на первый взгляд выглядел нормально и имел высокое количество звезд и форков. Однако дальнейшая проверка показала, что время коммитов кода проекта необычно сосредоточено и отсутствуют признаки постоянного обновления.
В зависимостях проекта содержится подозрительный сторонний пакет под названием crypto-layout-utils. Этот пакет был удален с официального NPM, и указанная версия не отображается в официальной истории. Через файл package-lock.json было обнаружено, что злоумышленник заменил ссылку для загрузки этого пакета на пользовательский адрес на GitHub.
Скачав и проанализировав этот сильно запутанный пакет зависимостей, команда безопасности подтвердила, что это вредоносный пакет NPM. Он будет сканировать чувствительные файлы на компьютере пользователя в поисках информации, связанной с кошельками или Закрытыми ключами, и загружать обнаруженные данные на сервер, контролируемый злоумышленником.
Атакующие также могли контролировать несколько аккаунтов GitHub, используемых для распространения вредоносных программ и повышения доверия к проекту. В некоторых проектах Fork использовался другой вредоносный пакет bs58-encrypt-utils. Анализ в цепочке показывает, что украденные средства частично поступили на одну из торговых платформ.
Этот инцидент показал, как злоумышленники используют замаскированные открытые проекты и вредоносные пакеты NPM для кражи закрытых ключей пользователей. Метод атаки сочетает в себе социальную инженерию и технические средства, обладая высокой степенью обмана и скрытности.
В связи с этим эксперты по безопасности рекомендуют разработчикам и пользователям быть крайне осторожными с проектами GitHub неизвестного происхождения, особенно когда речь идет о кошельках или Закрытый ключ. Если необходимо отладить, лучше делать это в изолированной среде без конфиденциальных данных.
Это событие связано с несколькими вредоносными репозиториями GitHub и пакетами NPM. Злоумышленники скрывали свои вредоносные действия, заменяя ссылки на скачивание пакетов NPM и используя запутанный код. Пострадавшие, случайно запустив проекты с вредоносными зависимостями, столкнулись с утечкой закрытых ключей и кражей активов.
Этот тип атаки подчеркивает риски безопасности в открытой экосистеме и напоминает нам о необходимости быть осторожными при использовании стороннего кода, а также о необходимости усиления проверки зависимостей. В то же время, платформы также должны усилить мониторинг и обработку злоумышленных действий, чтобы совместно поддерживать безопасную среду в открытом сообществе.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
23 Лайков
Награда
23
4
Поделиться
комментарий
0/400
ser_ngmi
· 07-29 13:41
Ах, снова пришло~
Посмотреть ОригиналОтветить0
MEVHunterZhang
· 07-28 06:07
又是 ловушка啦 轮到solana了
Посмотреть ОригиналОтветить0
liquiditea_sipper
· 07-28 06:01
Не смотри! Холодный кошелек обеспечивает безопасность!
Посмотреть ОригиналОтветить0
PriceOracleFairy
· 07-28 05:44
еще один день, еще один npm rugpull смех... безопасность — миф в web3
Предупреждение о риске кражи закрытых ключей пользователей в результате атаки вредоносных NPM-пакетов на экосистему Solana
Пользователи Solana подверглись атаке вредоносного пакета NPM, закрытый ключ был украден
В начале июля 2025 года пользователь Solana обратился за помощью к команде безопасности, сообщив, что его криптоактивы были украдены. В ходе расследования было установлено, что это был случай атаки с использованием злонамеренного NPM-пакета для кражи Закрытого ключа.
Команда безопасности провела глубокий анализ инцидента. Жертва использовала открытый проект solana-pumpfun-bot, размещенный на GitHub, который на первый взгляд выглядел нормально и имел высокое количество звезд и форков. Однако дальнейшая проверка показала, что время коммитов кода проекта необычно сосредоточено и отсутствуют признаки постоянного обновления.
В зависимостях проекта содержится подозрительный сторонний пакет под названием crypto-layout-utils. Этот пакет был удален с официального NPM, и указанная версия не отображается в официальной истории. Через файл package-lock.json было обнаружено, что злоумышленник заменил ссылку для загрузки этого пакета на пользовательский адрес на GitHub.
Скачав и проанализировав этот сильно запутанный пакет зависимостей, команда безопасности подтвердила, что это вредоносный пакет NPM. Он будет сканировать чувствительные файлы на компьютере пользователя в поисках информации, связанной с кошельками или Закрытыми ключами, и загружать обнаруженные данные на сервер, контролируемый злоумышленником.
Атакующие также могли контролировать несколько аккаунтов GitHub, используемых для распространения вредоносных программ и повышения доверия к проекту. В некоторых проектах Fork использовался другой вредоносный пакет bs58-encrypt-utils. Анализ в цепочке показывает, что украденные средства частично поступили на одну из торговых платформ.
Этот инцидент показал, как злоумышленники используют замаскированные открытые проекты и вредоносные пакеты NPM для кражи закрытых ключей пользователей. Метод атаки сочетает в себе социальную инженерию и технические средства, обладая высокой степенью обмана и скрытности.
В связи с этим эксперты по безопасности рекомендуют разработчикам и пользователям быть крайне осторожными с проектами GitHub неизвестного происхождения, особенно когда речь идет о кошельках или Закрытый ключ. Если необходимо отладить, лучше делать это в изолированной среде без конфиденциальных данных.
Это событие связано с несколькими вредоносными репозиториями GitHub и пакетами NPM. Злоумышленники скрывали свои вредоносные действия, заменяя ссылки на скачивание пакетов NPM и используя запутанный код. Пострадавшие, случайно запустив проекты с вредоносными зависимостями, столкнулись с утечкой закрытых ключей и кражей активов.
Этот тип атаки подчеркивает риски безопасности в открытой экосистеме и напоминает нам о необходимости быть осторожными при использовании стороннего кода, а также о необходимости усиления проверки зависимостей. В то же время, платформы также должны усилить мониторинг и обработку злоумышленных действий, чтобы совместно поддерживать безопасную среду в открытом сообществе.