Análisis del incidente de robo de llaves privadas a usuarios de Solana mediante paquetes NPM maliciosos
Contexto del evento
El 2 de julio de 2025, un usuario pidió ayuda al equipo de seguridad, afirmando que sus activos criptográficos fueron robados después de usar el proyecto de código abierto "solana-pumpfun-bot" en GitHub. El equipo de seguridad inició una investigación de inmediato.
Proceso de investigación
El equipo de seguridad primero revisó el proyecto de GitHub y encontró que las fechas de los commits de código eran inusuales y estaban concentradas. Al analizar las dependencias del proyecto, se encontró un paquete de terceros sospechoso llamado "crypto-layout-utils". Este paquete ha sido retirado oficialmente de NPM y la versión específica no aparece en los registros históricos oficiales.
Al revisar el archivo package-lock.json, el equipo descubrió que el atacante había reemplazado el enlace de descarga de este paquete por un enlace de lanzamiento de GitHub. Después de descargar y analizar este paquete altamente ofuscado, se confirmó que era un paquete NPM malicioso, capaz de escanear los archivos de la computadora del usuario y subir información sensible.
Métodos de ataque
Los atacantes pueden haber controlado varias cuentas de GitHub para distribuir malware y aumentar la credibilidad del proyecto. Además de "crypto-layout-utils", se descubrió otro paquete malicioso llamado "bs58-encrypt-utils". Estos paquetes maliciosos comenzaron a distribuirse a mediados de junio de 2025.
Flujo de fondos
El uso de herramientas de análisis en la cadena ha revelado que parte de los fondos robados fueron transferidos a una plataforma de intercambio.
Resumen y recomendaciones
Los atacantes disfrazan proyectos de código abierto legítimos para inducir a los usuarios a descargar y ejecutar proyectos de Node.js que contienen dependencias maliciosas, lo que lleva a la filtración de Llave privada y al robo de activos. Este tipo de ataque combina ingeniería social y técnicas, lo que lo hace difícil de defender completamente.
Se recomienda a los desarrolladores y usuarios que mantengan una alta vigilancia sobre proyectos de GitHub de origen desconocido, especialmente aquellos que involucran operaciones con billeteras o Llave privada. Si se necesita ejecutar depuración, debe hacerse en un entorno independiente y sin datos sensibles.
Información relacionada
Se han confirmado múltiples repositorios de GitHub involucrados en comportamientos maliciosos.
Los paquetes NPM maliciosos incluyen "crypto-layout-utils" y "bs58-encrypt-utils"
El dominio del servidor para la carga de datos de paquetes maliciosos es "githubshadow.xyz"
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
13 me gusta
Recompensa
13
7
Compartir
Comentar
0/400
MevHunter
· 07-24 02:35
Otra vez en problemas, y no escucha consejos.
Ver originalesResponder0
SpeakWithHatOn
· 07-24 01:41
Otra vez ser engañados, tsk tsk.
Ver originalesResponder0
DaoDeveloper
· 07-22 17:58
los degen necesitan auditar sus dependencias fr... los primitivos de seguridad de solana merecen algo mejor que esto smh
Ver originalesResponder0
SoliditySlayer
· 07-21 07:11
Otra ronda de tontos resuelta.
Ver originalesResponder0
WalletDivorcer
· 07-21 03:20
No te dejes atrapar, chico malo.
Ver originalesResponder0
Anon4461
· 07-21 03:13
Ser engañados los métodos se han renovado
Ver originalesResponder0
SmartContractRebel
· 07-21 02:59
¿Ha habido otro accidente de robo de moneda? Típicos tontos nuevos.
El ecosistema de Solana vuelve a sufrir robos de llaves privadas, un paquete NPM malicioso se disfraza de proyecto de código abierto.
Análisis del incidente de robo de llaves privadas a usuarios de Solana mediante paquetes NPM maliciosos
Contexto del evento
El 2 de julio de 2025, un usuario pidió ayuda al equipo de seguridad, afirmando que sus activos criptográficos fueron robados después de usar el proyecto de código abierto "solana-pumpfun-bot" en GitHub. El equipo de seguridad inició una investigación de inmediato.
Proceso de investigación
El equipo de seguridad primero revisó el proyecto de GitHub y encontró que las fechas de los commits de código eran inusuales y estaban concentradas. Al analizar las dependencias del proyecto, se encontró un paquete de terceros sospechoso llamado "crypto-layout-utils". Este paquete ha sido retirado oficialmente de NPM y la versión específica no aparece en los registros históricos oficiales.
Al revisar el archivo package-lock.json, el equipo descubrió que el atacante había reemplazado el enlace de descarga de este paquete por un enlace de lanzamiento de GitHub. Después de descargar y analizar este paquete altamente ofuscado, se confirmó que era un paquete NPM malicioso, capaz de escanear los archivos de la computadora del usuario y subir información sensible.
Métodos de ataque
Los atacantes pueden haber controlado varias cuentas de GitHub para distribuir malware y aumentar la credibilidad del proyecto. Además de "crypto-layout-utils", se descubrió otro paquete malicioso llamado "bs58-encrypt-utils". Estos paquetes maliciosos comenzaron a distribuirse a mediados de junio de 2025.
Flujo de fondos
El uso de herramientas de análisis en la cadena ha revelado que parte de los fondos robados fueron transferidos a una plataforma de intercambio.
Resumen y recomendaciones
Los atacantes disfrazan proyectos de código abierto legítimos para inducir a los usuarios a descargar y ejecutar proyectos de Node.js que contienen dependencias maliciosas, lo que lleva a la filtración de Llave privada y al robo de activos. Este tipo de ataque combina ingeniería social y técnicas, lo que lo hace difícil de defender completamente.
Se recomienda a los desarrolladores y usuarios que mantengan una alta vigilancia sobre proyectos de GitHub de origen desconocido, especialmente aquellos que involucran operaciones con billeteras o Llave privada. Si se necesita ejecutar depuración, debe hacerse en un entorno independiente y sin datos sensibles.
Información relacionada