Користувачі Solana стали жертвами атаки зловмисного пакета NPM, Закритий ключ був вкрадений
На початку липня 2025 року один із користувачів Solana звернувся до команди безпеки з проханням про допомогу, стверджуючи, що його криптоактиви були вкрадені. Після розслідування виявилося, що це було напад, що використовує шкідливий пакет NPM для крадіжки Закритого ключа.
Команда безпеки провела глибокий аналіз інциденту. Жертва використовувала хостинговий на GitHub відкритий проект solana-pumpfun-bot, який на перший погляд здавався нормальним, мав високу кількість зірок та форків. Проте подальша перевірка виявила, що часи коміту коду проекту аномально зосереджені, і йому не вистачає ознак постійних оновлень.
В проекті є підозрілий сторонній пакет з назвою crypto-layout-utils. Цей пакет був видалений з офіційного NPM, а вказана версія не з'являється в офіційній історії. За допомогою файлу package-lock.json було виявлено, що зловмисник замінив посилання на завантаження цього пакета на власну адресу в GitHub.
Завантаживши та проаналізувавши цей сильно заплутаний пакет залежностей, команда безпеки підтвердила, що це шкідливий NPM пакет. Він сканує чутливі файли на комп'ютері користувача в пошуках вмісту, пов'язаного з гаманцем або Закритим ключем, і завантажує знайдену інформацію на сервер, контрольований зловмисником.
Зловмисники також можуть контролювати кілька облікових записів GitHub, які використовуються для розповсюдження шкідливих програм та підвищення довіри до проектів. У деяких Fork проектах використано ще один шкідливий пакет bs58-encrypt-utils. Аналіз в ланцюзі показує, що частина вкрадених коштів потрапила на певну торгову платформу.
Ця подія виявила, як зловмисники використовують замасковані проекти з відкритим вихідним кодом та шкідливі NPM пакети для крадіжки закритих ключів користувачів. Методи атаки поєднують соціальну інженерію та технічні засоби, мають високу ступінь обману та прихованості.
З цього приводу експерти з безпеки радять розробникам та користувачам бути надзвичайно обережними з проектами GitHub, джерело яких невідоме, особливо коли йдеться про операції з гаманцями або Закритими ключами. Якщо необхідно провести налагодження, краще робити це в окремому середовищі без чутливих даних.
Ця подія стосується кількох шкідливих репозиторіїв GitHub та пакетів NPM. Зловмисники приховували свої шкідливі дії, замінюючи посилання для завантаження пакетів NPM, використовуючи обфускований код та інші методи. Жертви, випадково запустивши проекти з шкідливими залежностями, призвели до витоку закритого ключа та крадіжки активів.
Цей тип атак підкреслює ризики безпеки в екосистемі з відкритим кодом, нагадуючи нам про необхідність бути обережними при використанні стороннього коду та посилювати перевірку залежностей. Водночас, платформам також слід посилити моніторинг і обробку зловмисних дій, щоб спільно підтримувати безпечне середовище відкритого коду.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
23 лайків
Нагородити
23
4
Поділіться
Прокоментувати
0/400
ser_ngmi
· 07-29 13:41
О, знову це~
Переглянути оригіналвідповісти на0
MEVHunterZhang
· 07-28 06:07
Знову у пастці, тепер черга за solana.
Переглянути оригіналвідповісти на0
liquiditea_sipper
· 07-28 06:01
Не дивіться більше, Холодний гаманець забезпечує безпеку!
Переглянути оригіналвідповісти на0
PriceOracleFairy
· 07-28 05:44
інший день, інший npm rugpull смх... безпека - це міф у web3
Атака зловмисного пакету NPM на екосистему Solana, попередження про ризик викрадення закритих ключів у користувачів
Користувачі Solana стали жертвами атаки зловмисного пакета NPM, Закритий ключ був вкрадений
На початку липня 2025 року один із користувачів Solana звернувся до команди безпеки з проханням про допомогу, стверджуючи, що його криптоактиви були вкрадені. Після розслідування виявилося, що це було напад, що використовує шкідливий пакет NPM для крадіжки Закритого ключа.
Команда безпеки провела глибокий аналіз інциденту. Жертва використовувала хостинговий на GitHub відкритий проект solana-pumpfun-bot, який на перший погляд здавався нормальним, мав високу кількість зірок та форків. Проте подальша перевірка виявила, що часи коміту коду проекту аномально зосереджені, і йому не вистачає ознак постійних оновлень.
В проекті є підозрілий сторонній пакет з назвою crypto-layout-utils. Цей пакет був видалений з офіційного NPM, а вказана версія не з'являється в офіційній історії. За допомогою файлу package-lock.json було виявлено, що зловмисник замінив посилання на завантаження цього пакета на власну адресу в GitHub.
Завантаживши та проаналізувавши цей сильно заплутаний пакет залежностей, команда безпеки підтвердила, що це шкідливий NPM пакет. Він сканує чутливі файли на комп'ютері користувача в пошуках вмісту, пов'язаного з гаманцем або Закритим ключем, і завантажує знайдену інформацію на сервер, контрольований зловмисником.
Зловмисники також можуть контролювати кілька облікових записів GitHub, які використовуються для розповсюдження шкідливих програм та підвищення довіри до проектів. У деяких Fork проектах використано ще один шкідливий пакет bs58-encrypt-utils. Аналіз в ланцюзі показує, що частина вкрадених коштів потрапила на певну торгову платформу.
Ця подія виявила, як зловмисники використовують замасковані проекти з відкритим вихідним кодом та шкідливі NPM пакети для крадіжки закритих ключів користувачів. Методи атаки поєднують соціальну інженерію та технічні засоби, мають високу ступінь обману та прихованості.
З цього приводу експерти з безпеки радять розробникам та користувачам бути надзвичайно обережними з проектами GitHub, джерело яких невідоме, особливо коли йдеться про операції з гаманцями або Закритими ключами. Якщо необхідно провести налагодження, краще робити це в окремому середовищі без чутливих даних.
Ця подія стосується кількох шкідливих репозиторіїв GitHub та пакетів NPM. Зловмисники приховували свої шкідливі дії, замінюючи посилання для завантаження пакетів NPM, використовуючи обфускований код та інші методи. Жертви, випадково запустивши проекти з шкідливими залежностями, призвели до витоку закритого ключа та крадіжки активів.
Цей тип атак підкреслює ризики безпеки в екосистемі з відкритим кодом, нагадуючи нам про необхідність бути обережними при використанні стороннього коду та посилювати перевірку залежностей. Водночас, платформам також слід посилити моніторинг і обробку зловмисних дій, щоб спільно підтримувати безпечне середовище відкритого коду.