Analisis Kasus Pencurian Kunci Pribadi oleh Paket NPM Jahat pada Pengguna Solana
Latar Belakang Peristiwa
Pada tanggal 2 Juli 2025, seorang pengguna meminta bantuan tim keamanan, menyatakan bahwa aset kriptonya dicuri setelah menggunakan proyek sumber terbuka "solana-pumpfun-bot" di GitHub. Tim keamanan segera memulai penyelidikan.
Proses Survei
Tim keamanan pertama-tama memeriksa proyek GitHub tersebut dan menemukan bahwa waktu pengiriman kode terkonsentrasi dan tidak biasa. Analisis lebih lanjut terhadap ketergantungan proyek mengungkapkan adanya paket pihak ketiga yang mencurigakan bernama "crypto-layout-utils". Paket ini telah ditarik oleh NPM resmi, dan versi yang ditentukan tidak muncul dalam catatan resmi.
Dengan memeriksa file package-lock.json, tim menemukan bahwa penyerang telah mengganti tautan unduhan paket tersebut dengan tautan rilis GitHub. Setelah mengunduh dan menganalisis paket yang sangat tersamarkan ini, dipastikan bahwa itu adalah paket NPM berbahaya yang dapat memindai file di komputer pengguna dan mengunggah informasi sensitif.
Metode Serangan
Penyerang mungkin mengendalikan beberapa akun GitHub untuk mendistribusikan program jahat dan meningkatkan kredibilitas proyek. Selain "crypto-layout-utils", juga ditemukan paket jahat lain bernama "bs58-encrypt-utils". Paket jahat ini mulai didistribusikan sejak pertengahan Juni 2025.
Aliran Dana
Menggunakan alat analisis on-chain untuk melacak, ditemukan bahwa sebagian dana yang dicuri telah dipindahkan ke suatu platform perdagangan.
Ringkasan dan Saran
Penyerang menyamar sebagai proyek sumber terbuka yang sah, mengelabui pengguna untuk mengunduh dan menjalankan proyek Node.js yang mengandung ketergantungan jahat, menyebabkan kebocoran kunci pribadi dan pencurian aset. Jenis serangan ini menggabungkan rekayasa sosial dan teknik, sehingga sulit untuk sepenuhnya dipertahankan.
Disarankan agar pengembang dan pengguna tetap waspada terhadap proyek GitHub yang tidak dikenal, terutama yang terkait dengan operasi dompet atau Kunci Pribadi. Jika perlu menjalankan debug, lakukan di lingkungan yang terpisah dan tanpa data sensitif.
Informasi Terkait
Beberapa repositori GitHub yang terlibat dalam perilaku jahat telah dikonfirmasi
Paket NPM jahat termasuk "crypto-layout-utils" dan "bs58-encrypt-utils"
Nama domain server untuk mengunggah data paket berbahaya adalah "githubshadow.xyz"
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
13 Suka
Hadiah
13
7
Bagikan
Komentar
0/400
MevHunter
· 07-24 02:35
Jadi terjebak lagi, masih tidak mau mendengarkan saran.
Lihat AsliBalas0
SpeakWithHatOn
· 07-24 01:41
Lagi-lagi dianggap bodoh. Tsk tsk.
Lihat AsliBalas0
DaoDeveloper
· 07-22 17:58
degens perlu mengaudit ketergantungan mereka fr... primitif keamanan solana pantas mendapatkan yang lebih baik dari ini smh
Lihat AsliBalas0
SoliditySlayer
· 07-21 07:11
Sudah menyelesaikan satu gelombang suckers
Lihat AsliBalas0
WalletDivorcer
· 07-21 03:20
Jangan terjebak, ya bocah nakal.
Lihat AsliBalas0
Anon4461
· 07-21 03:13
Dianggap Bodoh tangan semua sudah diperbarui
Lihat AsliBalas0
SmartContractRebel
· 07-21 02:59
Ada lagi kecelakaan pencurian koin? Suckers baru yang khas.
Ekosistem Solana kembali mengalami pencurian Kunci Pribadi, paket NPM jahat menyamar sebagai proyek Sumber Terbuka menyerang.
Analisis Kasus Pencurian Kunci Pribadi oleh Paket NPM Jahat pada Pengguna Solana
Latar Belakang Peristiwa
Pada tanggal 2 Juli 2025, seorang pengguna meminta bantuan tim keamanan, menyatakan bahwa aset kriptonya dicuri setelah menggunakan proyek sumber terbuka "solana-pumpfun-bot" di GitHub. Tim keamanan segera memulai penyelidikan.
Proses Survei
Tim keamanan pertama-tama memeriksa proyek GitHub tersebut dan menemukan bahwa waktu pengiriman kode terkonsentrasi dan tidak biasa. Analisis lebih lanjut terhadap ketergantungan proyek mengungkapkan adanya paket pihak ketiga yang mencurigakan bernama "crypto-layout-utils". Paket ini telah ditarik oleh NPM resmi, dan versi yang ditentukan tidak muncul dalam catatan resmi.
Dengan memeriksa file package-lock.json, tim menemukan bahwa penyerang telah mengganti tautan unduhan paket tersebut dengan tautan rilis GitHub. Setelah mengunduh dan menganalisis paket yang sangat tersamarkan ini, dipastikan bahwa itu adalah paket NPM berbahaya yang dapat memindai file di komputer pengguna dan mengunggah informasi sensitif.
Metode Serangan
Penyerang mungkin mengendalikan beberapa akun GitHub untuk mendistribusikan program jahat dan meningkatkan kredibilitas proyek. Selain "crypto-layout-utils", juga ditemukan paket jahat lain bernama "bs58-encrypt-utils". Paket jahat ini mulai didistribusikan sejak pertengahan Juni 2025.
Aliran Dana
Menggunakan alat analisis on-chain untuk melacak, ditemukan bahwa sebagian dana yang dicuri telah dipindahkan ke suatu platform perdagangan.
Ringkasan dan Saran
Penyerang menyamar sebagai proyek sumber terbuka yang sah, mengelabui pengguna untuk mengunduh dan menjalankan proyek Node.js yang mengandung ketergantungan jahat, menyebabkan kebocoran kunci pribadi dan pencurian aset. Jenis serangan ini menggabungkan rekayasa sosial dan teknik, sehingga sulit untuk sepenuhnya dipertahankan.
Disarankan agar pengembang dan pengguna tetap waspada terhadap proyek GitHub yang tidak dikenal, terutama yang terkait dengan operasi dompet atau Kunci Pribadi. Jika perlu menjalankan debug, lakukan di lingkungan yang terpisah dan tanpa data sensitif.
Informasi Terkait