Người dùng Solana bị tấn công bởi gói NPM độc hại, khóa riêng bị đánh cắp
Vào đầu tháng 7 năm 2025, một người dùng Solana đã yêu cầu sự trợ giúp từ đội ngũ an ninh, nói rằng tài sản tiền điện tử của họ đã bị đánh cắp. Qua điều tra, phát hiện đây là một vụ tấn công sử dụng gói NPM độc hại để đánh cắp khóa riêng.
Đội ngũ an ninh đã tiến hành phân tích sâu về sự kiện. Nạn nhân đã sử dụng một dự án mã nguồn mở được lưu trữ trên GitHub có tên solana-pumpfun-bot, dự án này có vẻ bình thường, với số lượng Star và Fork cao. Tuy nhiên, kiểm tra sâu hơn cho thấy thời gian gửi mã của dự án này tập trung bất thường, thiếu đặc điểm cập nhật liên tục.
Dự án phụ thuộc vào một gói bên thứ ba đáng ngờ có tên là crypto-layout-utils. Gói này đã bị NPM chính thức gỡ bỏ, và phiên bản được chỉ định không xuất hiện trong lịch sử chính thức. Qua tệp package-lock.json, phát hiện rằng kẻ tấn công đã thay thế liên kết tải xuống của gói này bằng một địa chỉ tùy chỉnh trên GitHub.
Sau khi tải xuống và phân tích gói phụ thuộc được làm rối cao này, đội ngũ an ninh xác nhận rằng đây là một gói NPM độc hại. Nó sẽ quét các tệp nhạy cảm trên máy tính của người dùng, tìm kiếm các nội dung liên quan đến ví hoặc Khóa riêng, và sẽ tải thông tin đã phát hiện lên máy chủ do kẻ tấn công kiểm soát.
Kẻ tấn công cũng có thể đã kiểm soát nhiều tài khoản GitHub, được sử dụng để phân phát phần mềm độc hại và nâng cao độ tin cậy của dự án. Một số dự án Fork đã sử dụng một gói độc hại khác là bs58-encrypt-utils. Phân tích trên chuỗi cho thấy một phần tài sản bị đánh cắp đã chảy vào một nền tảng giao dịch nào đó.
Sự kiện này đã tiết lộ cách mà kẻ tấn công lợi dụng các dự án mã nguồn mở giả mạo và các gói NPM độc hại để đánh cắp khóa riêng của người dùng. Phương pháp tấn công kết hợp giữa kỹ thuật xã hội và các phương tiện kỹ thuật, có tính lừa đảo và tính ẩn danh cao.
Đối với điều này, các chuyên gia an ninh khuyên các nhà phát triển và người dùng nên giữ cảnh giác cao đối với các dự án GitHub không rõ nguồn gốc, đặc biệt là khi liên quan đến ví hoặc Khóa riêng. Nếu cần gỡ lỗi, tốt nhất nên thực hiện trong môi trường độc lập và không có dữ liệu nhạy cảm.
Sự kiện này liên quan đến nhiều kho GitHub và gói NPM độc hại. Kẻ tấn công đã giấu hành vi độc hại bằng cách thay thế liên kết tải xuống gói NPM, sử dụng mã làm rối. Nạn nhân vô tình chạy dự án có phụ thuộc độc hại, dẫn đến việc lộ Khóa riêng và tài sản bị đánh cắp.
Các cuộc tấn công kiểu này làm nổi bật rủi ro an ninh trong hệ sinh thái mã nguồn mở, nhắc nhở chúng ta cần cảnh giác khi sử dụng mã của bên thứ ba và tăng cường kiểm tra các gói phụ thuộc. Đồng thời, các nền tảng cũng nên tăng cường giám sát và xử lý các hành vi độc hại, cùng nhau duy trì môi trường an toàn cho cộng đồng mã nguồn mở.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
23 thích
Phần thưởng
23
4
Chia sẻ
Bình luận
0/400
ser_ngmi
· 07-29 13:41
Hả, lại đến một lần nữa ~
Xem bản gốcTrả lời0
MEVHunterZhang
· 07-28 06:07
Lại mắc bẫy rồi, đến lượt solana.
Xem bản gốcTrả lời0
liquiditea_sipper
· 07-28 06:01
Đừng nhìn nữa, Ví lạnh giữ an toàn!
Xem bản gốcTrả lời0
PriceOracleFairy
· 07-28 05:44
một ngày nữa, một vụ rugpull npm nữa thật tiếc... an ninh chỉ là một huyền thoại trong web3
Cảnh báo rủi ro bị đánh cắp khóa riêng của người dùng do tấn công từ gói NPM độc hại vào hệ sinh thái Solana
Người dùng Solana bị tấn công bởi gói NPM độc hại, khóa riêng bị đánh cắp
Vào đầu tháng 7 năm 2025, một người dùng Solana đã yêu cầu sự trợ giúp từ đội ngũ an ninh, nói rằng tài sản tiền điện tử của họ đã bị đánh cắp. Qua điều tra, phát hiện đây là một vụ tấn công sử dụng gói NPM độc hại để đánh cắp khóa riêng.
Đội ngũ an ninh đã tiến hành phân tích sâu về sự kiện. Nạn nhân đã sử dụng một dự án mã nguồn mở được lưu trữ trên GitHub có tên solana-pumpfun-bot, dự án này có vẻ bình thường, với số lượng Star và Fork cao. Tuy nhiên, kiểm tra sâu hơn cho thấy thời gian gửi mã của dự án này tập trung bất thường, thiếu đặc điểm cập nhật liên tục.
Dự án phụ thuộc vào một gói bên thứ ba đáng ngờ có tên là crypto-layout-utils. Gói này đã bị NPM chính thức gỡ bỏ, và phiên bản được chỉ định không xuất hiện trong lịch sử chính thức. Qua tệp package-lock.json, phát hiện rằng kẻ tấn công đã thay thế liên kết tải xuống của gói này bằng một địa chỉ tùy chỉnh trên GitHub.
Sau khi tải xuống và phân tích gói phụ thuộc được làm rối cao này, đội ngũ an ninh xác nhận rằng đây là một gói NPM độc hại. Nó sẽ quét các tệp nhạy cảm trên máy tính của người dùng, tìm kiếm các nội dung liên quan đến ví hoặc Khóa riêng, và sẽ tải thông tin đã phát hiện lên máy chủ do kẻ tấn công kiểm soát.
Kẻ tấn công cũng có thể đã kiểm soát nhiều tài khoản GitHub, được sử dụng để phân phát phần mềm độc hại và nâng cao độ tin cậy của dự án. Một số dự án Fork đã sử dụng một gói độc hại khác là bs58-encrypt-utils. Phân tích trên chuỗi cho thấy một phần tài sản bị đánh cắp đã chảy vào một nền tảng giao dịch nào đó.
Sự kiện này đã tiết lộ cách mà kẻ tấn công lợi dụng các dự án mã nguồn mở giả mạo và các gói NPM độc hại để đánh cắp khóa riêng của người dùng. Phương pháp tấn công kết hợp giữa kỹ thuật xã hội và các phương tiện kỹ thuật, có tính lừa đảo và tính ẩn danh cao.
Đối với điều này, các chuyên gia an ninh khuyên các nhà phát triển và người dùng nên giữ cảnh giác cao đối với các dự án GitHub không rõ nguồn gốc, đặc biệt là khi liên quan đến ví hoặc Khóa riêng. Nếu cần gỡ lỗi, tốt nhất nên thực hiện trong môi trường độc lập và không có dữ liệu nhạy cảm.
Sự kiện này liên quan đến nhiều kho GitHub và gói NPM độc hại. Kẻ tấn công đã giấu hành vi độc hại bằng cách thay thế liên kết tải xuống gói NPM, sử dụng mã làm rối. Nạn nhân vô tình chạy dự án có phụ thuộc độc hại, dẫn đến việc lộ Khóa riêng và tài sản bị đánh cắp.
Các cuộc tấn công kiểu này làm nổi bật rủi ro an ninh trong hệ sinh thái mã nguồn mở, nhắc nhở chúng ta cần cảnh giác khi sử dụng mã của bên thứ ba và tăng cường kiểm tra các gói phụ thuộc. Đồng thời, các nền tảng cũng nên tăng cường giám sát và xử lý các hành vi độc hại, cùng nhau duy trì môi trường an toàn cho cộng đồng mã nguồn mở.