تحليل حادثة سرقة المفتاح الخاص لمستخدمي Solana من خلال حزمة NPM خبيثة
خلفية الحدث
في 2 يوليو 2025، طلب أحد المستخدمين المساعدة من فريق الأمان، حيث أفاد بأنه بعد استخدام مشروع المصدر المفتوح "solana-pumpfun-bot" على GitHub، تم سرقة أصوله المشفرة. بدأ فريق الأمان على الفور التحقيق.
عملية الاستطلاع
فريق الأمان فحص أولاً مشروع GitHub، واكتشف أن توقيت تقديم الشيفرة مركز وغير عادي. بعد تحليل الاعتماديات الخاصة بالمشروع، تم اكتشاف حزمة طرف ثالث مشبوهة تُدعى "crypto-layout-utils". هذه الحزمة تم إزالتها من NPM الرسمي، والإصدار المحدد لم يظهر في السجل الرسمي.
من خلال فحص ملف package-lock.json، اكتشف الفريق أن المهاجمين استبدلوا رابط تنزيل الحزمة برابط إصدار GitHub. بعد تنزيل وتحليل هذه الحزمة الغامضة للغاية، تأكد أنها حزمة NPM خبيثة، قادرة على مسح ملفات كمبيوتر المستخدم وتحميل المعلومات الحساسة.
أسلوب الهجوم
المهاجمون قد يكونون قد سيطروا على عدة حسابات GitHub، لاستخدامها في توزيع البرامج الضارة وزيادة مصداقية المشاريع. بالإضافة إلى "crypto-layout-utils"، تم اكتشاف حزمة ضارة أخرى تسمى "bs58-encrypt-utils". تم بدء توزيع هذه الحزم الضارة منذ منتصف يونيو 2025.
اتجاه تدفق الأموال
استخدام أدوات تحليل سلسلة الكتل لتتبع الاكتشاف، تم نقل بعض الأموال المسروقة إلى منصة تداول معينة.
الملخص والتوصيات
قام المهاجمون بتزييف مشاريع مفتوحة المصدر شرعية، مما أدى إلى إغراء المستخدمين بتحميل وتشغيل مشاريع Node.js التي تحتوي على تبعيات خبيثة، مما أدى إلى تسرب المفتاح الخاص وسرقة الأصول. تمزج هذه الأنواع من الهجمات بين الهندسة الاجتماعية والأساليب التقنية، مما يجعل من الصعب الدفاع عنها بالكامل.
ينبغي على المطورين والمستخدمين أن يكونوا حذرين للغاية بشأن مشاريع GitHub غير المعروفة، خاصة عندما يتعلق الأمر بعمليات المحفظة أو المفتاح الخاص. إذا كان من الضروري تشغيل التصحيح، يجب القيام بذلك في بيئة مستقلة وخالية من البيانات الحساسة.
معلومات ذات صلة
تم تأكيد وجود العديد من مستودعات GitHub التي تنطوي على سلوكيات خبيثة
تتضمن حزم NPM الضارة "crypto-layout-utils" و "bs58-encrypt-utils"
اسم مجال تحميل بيانات الحزمة الضارة إلى الخادم هو "githubshadow.xyz"
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 13
أعجبني
13
7
مشاركة
تعليق
0/400
MevHunter
· 07-24 02:35
لقد وقعت في الفخ مرة أخرى، ولا تزال لا تستمع إلى النصائح.
شاهد النسخة الأصليةرد0
SpeakWithHatOn
· 07-24 01:41
مرة أخرى تم استغلالي بغباء. تكة تكة
شاهد النسخة الأصليةرد0
DaoDeveloper
· 07-22 17:58
يحتاج الديجينز إلى تدقيق اعتماداتهم من أجل... تستحق قواعد الأمان في سولانا أفضل من هذا، عذرًا.
شاهد النسخة الأصليةرد0
SoliditySlayer
· 07-21 07:11
又搞定一波حمقى
شاهد النسخة الأصليةرد0
WalletDivorcer
· 07-21 03:20
لا تقع في الفخ يا ولد臭
شاهد النسخة الأصليةرد0
Anon4461
· 07-21 03:13
أساليب يُستغل بغباء. قد تم تجديدها
شاهد النسخة الأصليةرد0
SmartContractRebel
· 07-21 02:59
هل حدثت حادثة سرقة عملة مرة أخرى؟ حمقى جدد نموذجيون
ظهور سرقة المفاتيح الخاصة في نظام Solana البيئي، حزم NPM الخبيثة تتنكر كمشاريع مفتوحة المصدر.
تحليل حادثة سرقة المفتاح الخاص لمستخدمي Solana من خلال حزمة NPM خبيثة
خلفية الحدث
في 2 يوليو 2025، طلب أحد المستخدمين المساعدة من فريق الأمان، حيث أفاد بأنه بعد استخدام مشروع المصدر المفتوح "solana-pumpfun-bot" على GitHub، تم سرقة أصوله المشفرة. بدأ فريق الأمان على الفور التحقيق.
عملية الاستطلاع
فريق الأمان فحص أولاً مشروع GitHub، واكتشف أن توقيت تقديم الشيفرة مركز وغير عادي. بعد تحليل الاعتماديات الخاصة بالمشروع، تم اكتشاف حزمة طرف ثالث مشبوهة تُدعى "crypto-layout-utils". هذه الحزمة تم إزالتها من NPM الرسمي، والإصدار المحدد لم يظهر في السجل الرسمي.
من خلال فحص ملف package-lock.json، اكتشف الفريق أن المهاجمين استبدلوا رابط تنزيل الحزمة برابط إصدار GitHub. بعد تنزيل وتحليل هذه الحزمة الغامضة للغاية، تأكد أنها حزمة NPM خبيثة، قادرة على مسح ملفات كمبيوتر المستخدم وتحميل المعلومات الحساسة.
أسلوب الهجوم
المهاجمون قد يكونون قد سيطروا على عدة حسابات GitHub، لاستخدامها في توزيع البرامج الضارة وزيادة مصداقية المشاريع. بالإضافة إلى "crypto-layout-utils"، تم اكتشاف حزمة ضارة أخرى تسمى "bs58-encrypt-utils". تم بدء توزيع هذه الحزم الضارة منذ منتصف يونيو 2025.
اتجاه تدفق الأموال
استخدام أدوات تحليل سلسلة الكتل لتتبع الاكتشاف، تم نقل بعض الأموال المسروقة إلى منصة تداول معينة.
الملخص والتوصيات
قام المهاجمون بتزييف مشاريع مفتوحة المصدر شرعية، مما أدى إلى إغراء المستخدمين بتحميل وتشغيل مشاريع Node.js التي تحتوي على تبعيات خبيثة، مما أدى إلى تسرب المفتاح الخاص وسرقة الأصول. تمزج هذه الأنواع من الهجمات بين الهندسة الاجتماعية والأساليب التقنية، مما يجعل من الصعب الدفاع عنها بالكامل.
ينبغي على المطورين والمستخدمين أن يكونوا حذرين للغاية بشأن مشاريع GitHub غير المعروفة، خاصة عندما يتعلق الأمر بعمليات المحفظة أو المفتاح الخاص. إذا كان من الضروري تشغيل التصحيح، يجب القيام بذلك في بيئة مستقلة وخالية من البيانات الحساسة.
معلومات ذات صلة