Analyse de l'incident de vol de clé privée des utilisateurs de Solana par un package NPM malveillant
Contexte de l'événement
Le 2 juillet 2025, un utilisateur a demandé de l'aide à l'équipe de sécurité, déclarant que ses actifs cryptographiques avaient été volés après avoir utilisé le projet open source "solana-pumpfun-bot" sur GitHub. L'équipe de sécurité a immédiatement lancé une enquête.
Processus d'enquête
L'équipe de sécurité a d'abord vérifié le projet GitHub et a constaté que les heures de soumission du code étaient concentrées et anormales. En analysant davantage les dépendances du projet, un package tiers suspect nommé "crypto-layout-utils" a été découvert. Ce package a été retiré par NPM et la version spécifiée n'apparaît pas dans l'historique officiel.
En vérifiant le fichier package-lock.json, l'équipe a découvert que l'attaquant avait remplacé le lien de téléchargement de ce package par un lien vers une release GitHub. Après avoir téléchargé et analysé ce package hautement obfusqué, il a été confirmé qu'il s'agissait d'un package NPM malveillant capable de scanner les fichiers de l'ordinateur de l'utilisateur et de télécharger des informations sensibles.
Méthodes d'attaque
Des attaquants pourraient avoir contrôlé plusieurs comptes GitHub pour distribuer des programmes malveillants et accroître la crédibilité des projets. En plus de "crypto-layout-utils", un autre package malveillant nommé "bs58-encrypt-utils" a également été découvert. Ces packages malveillants ont commencé à être distribués à partir de la mi-juin 2025.
Flux de fonds
L'utilisation d'outils d'analyse en chaîne a révélé que des fonds volés avaient été transférés vers une certaine plateforme d'échange.
Résumé et recommandations
Les attaquants se déguisent en projets open source légitimes pour inciter les utilisateurs à télécharger et exécuter des projets Node.js contenant des dépendances malveillantes, entraînant des fuites de clé privée et le vol d'actifs. Ce type d'attaque combine l'ingénierie sociale et des moyens techniques, ce qui la rend difficile à défendre complètement.
Il est conseillé aux développeurs et aux utilisateurs de rester très vigilants vis-à-vis des projets GitHub d'origine inconnue, en particulier ceux impliquant des opérations de portefeuille ou de clé privée. Si vous devez exécuter un débogage, cela doit se faire dans un environnement isolé et sans données sensibles.
Informations connexes
Plusieurs dépôts GitHub impliquant des comportements malveillants ont été confirmés.
Les paquets NPM malveillants incluent "crypto-layout-utils" et "bs58-encrypt-utils"
Le nom de domaine du serveur pour le téléchargement de données de paquets malveillants est "githubshadow.xyz"
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
13 J'aime
Récompense
13
7
Partager
Commentaire
0/400
MevHunter
· 07-24 02:35
Encore un piège, et ils n'écoutent toujours pas les conseils.
Voir l'originalRépondre0
SpeakWithHatOn
· 07-24 01:41
Encore se faire prendre pour des cons, tsk tsk.
Voir l'originalRépondre0
DaoDeveloper
· 07-22 17:58
les degens doivent auditer leurs dépendances fr... les primitives de sécurité de solana méritent mieux que ça smh
Voir l'originalRépondre0
SoliditySlayer
· 07-21 07:11
Encore une fois, on a eu des pigeons.
Voir l'originalRépondre0
WalletDivorcer
· 07-21 03:20
Ne te laisse pas piéger, petit idiot.
Voir l'originalRépondre0
Anon4461
· 07-21 03:13
Se faire prendre pour des cons, les techniques ont été renouvelées.
Voir l'originalRépondre0
SmartContractRebel
· 07-21 02:59
Encore un incident de vol de jetons ? Un pigeon typique.
Le vol de clés privées refait surface dans l'écosystème Solana, des paquets NPM malveillants déguisés en projets Open Source attaquent.
Analyse de l'incident de vol de clé privée des utilisateurs de Solana par un package NPM malveillant
Contexte de l'événement
Le 2 juillet 2025, un utilisateur a demandé de l'aide à l'équipe de sécurité, déclarant que ses actifs cryptographiques avaient été volés après avoir utilisé le projet open source "solana-pumpfun-bot" sur GitHub. L'équipe de sécurité a immédiatement lancé une enquête.
Processus d'enquête
L'équipe de sécurité a d'abord vérifié le projet GitHub et a constaté que les heures de soumission du code étaient concentrées et anormales. En analysant davantage les dépendances du projet, un package tiers suspect nommé "crypto-layout-utils" a été découvert. Ce package a été retiré par NPM et la version spécifiée n'apparaît pas dans l'historique officiel.
En vérifiant le fichier package-lock.json, l'équipe a découvert que l'attaquant avait remplacé le lien de téléchargement de ce package par un lien vers une release GitHub. Après avoir téléchargé et analysé ce package hautement obfusqué, il a été confirmé qu'il s'agissait d'un package NPM malveillant capable de scanner les fichiers de l'ordinateur de l'utilisateur et de télécharger des informations sensibles.
Méthodes d'attaque
Des attaquants pourraient avoir contrôlé plusieurs comptes GitHub pour distribuer des programmes malveillants et accroître la crédibilité des projets. En plus de "crypto-layout-utils", un autre package malveillant nommé "bs58-encrypt-utils" a également été découvert. Ces packages malveillants ont commencé à être distribués à partir de la mi-juin 2025.
Flux de fonds
L'utilisation d'outils d'analyse en chaîne a révélé que des fonds volés avaient été transférés vers une certaine plateforme d'échange.
Résumé et recommandations
Les attaquants se déguisent en projets open source légitimes pour inciter les utilisateurs à télécharger et exécuter des projets Node.js contenant des dépendances malveillantes, entraînant des fuites de clé privée et le vol d'actifs. Ce type d'attaque combine l'ingénierie sociale et des moyens techniques, ce qui la rend difficile à défendre complètement.
Il est conseillé aux développeurs et aux utilisateurs de rester très vigilants vis-à-vis des projets GitHub d'origine inconnue, en particulier ceux impliquant des opérations de portefeuille ou de clé privée. Si vous devez exécuter un débogage, cela doit se faire dans un environnement isolé et sans données sensibles.
Informations connexes