# ソラナユーザーが悪意のあるNPMパッケージによる秘密鍵の盗難事件を分析## イベント背景2025年7月2日、一人のユーザーがセキュリティチームに助けを求め、GitHub上のオープンソースプロジェクト「solana-pumpfun-bot」を使用した後に暗号資産が盗まれたと報告しました。セキュリティチームは直ちに調査を開始しました。! [悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる](https://img-cdn.gateio.im/social/moments-7c1b27cb5c44f6ffd4f57c5ef2a59c78)## 調査プロセスセキュリティチームはまずこのGitHubプロジェクトをチェックし、コードのコミット時間が集中しており異常であることを発見しました。プロジェクトの依存関係をさらに分析したところ、"crypto-layout-utils"という疑わしいサードパーティのパッケージが見つかりました。このパッケージはNPM公式から削除されており、指定されたバージョンは公式の履歴に存在していません。! [悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる](https://img-cdn.gateio.im/social/moments-a15d9d2ee4aa8d8bedbe5404f8071674)package-lock.jsonファイルをチェックすることで、チームは攻撃者がそのパッケージのダウンロードリンクをGitHubリリースリンクに置き換えたことを発見しました。この高度に難読化されたパッケージをダウンロードして分析した結果、それが悪意のあるNPMパッケージであり、ユーザーのコンピュータのファイルをスキャンし、敏感な情報をアップロードできることが確認されました。! [悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる](https://img-cdn.gateio.im/social/moments-92270590754eee1f3c64701b925a6879)! [悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる](https://img-cdn.gateio.im/social/moments-45385fac079be08f026846fa307046c9)## 攻撃手口攻撃者は複数のGitHubアカウントを制御し、悪意のあるプログラムを配布してプロジェクトの信頼性を高めている可能性があります。"crypto-layout-utils"に加えて、もう一つの"bs58-encrypt-utils"という悪意のあるパッケージが発見されました。これらの悪意のあるパッケージは2025年6月中旬から配布が始まりました。! [悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれます](https://img-cdn.gateio.im/social/moments-4157e5ce89dc289397d318a7ac72b5e3)! [悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる](https://img-cdn.gateio.im/social/moments-6435ede5af6de3a2053b873ef8018cf2)! [悪意のあるNPMパッケージが秘密鍵を盗み、Solanaユーザー資産が盗まれる](https://img-cdn.gateio.im/social/moments-90a997621185674ab87ea69625c794a5)## 資金の流れオンチェーン分析ツールを使用して追跡したところ、一部の盗まれた資金がある取引所に移されたことがわかりました。! [悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる](https://img-cdn.gateio.im/social/moments-702c2acd9c8ef126e067d87ebba33087)## まとめと提案攻撃者は合法的なオープンソースプロジェクトを装い、ユーザーに悪意のある依存関係を含むNode.jsプロジェクトをダウンロードして実行させることで、秘密鍵の漏洩や資産の盗難を引き起こします。この種の攻撃は、ソーシャルエンジニアリングと技術的手段を組み合わせており、完全に防御することが難しいです。開発者とユーザーは、特にウォレットや秘密鍵の操作に関与する場合、出所不明のGitHubプロジェクトに対して高い警戒を保つことをお勧めします。デバッグを実行する必要がある場合は、独立したかつ機密データのない環境で行うべきです。! [悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる](https://img-cdn.gateio.im/social/moments-c157bcdab010c7fabda1ae1595bababe)## 関連情報- 悪意のある行為に関与している複数のGitHubリポジトリが確認されました- 悪意のあるNPMパッケージには、「crypto-layout-utils」と「bs58-encrypt-utils」が含まれます- 悪意のあるパッケージデータのアップロード先サーバーのドメイン名は"githubshadow.xyz"です。! [悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる](https://img-cdn.gateio.im/social/moments-472221aa8ff3517457aade46eec5c094)! [悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる](https://img-cdn.gateio.im/social/moments-0373c883638c58f7ea0ee4d8f6d57f93)
ソラナエコシステムで再び秘密鍵盗難が発生、悪意のあるNPMパッケージがオープンソースプロジェクトに偽装して襲来
ソラナユーザーが悪意のあるNPMパッケージによる秘密鍵の盗難事件を分析
イベント背景
2025年7月2日、一人のユーザーがセキュリティチームに助けを求め、GitHub上のオープンソースプロジェクト「solana-pumpfun-bot」を使用した後に暗号資産が盗まれたと報告しました。セキュリティチームは直ちに調査を開始しました。
! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる
調査プロセス
セキュリティチームはまずこのGitHubプロジェクトをチェックし、コードのコミット時間が集中しており異常であることを発見しました。プロジェクトの依存関係をさらに分析したところ、"crypto-layout-utils"という疑わしいサードパーティのパッケージが見つかりました。このパッケージはNPM公式から削除されており、指定されたバージョンは公式の履歴に存在していません。
! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる
package-lock.jsonファイルをチェックすることで、チームは攻撃者がそのパッケージのダウンロードリンクをGitHubリリースリンクに置き換えたことを発見しました。この高度に難読化されたパッケージをダウンロードして分析した結果、それが悪意のあるNPMパッケージであり、ユーザーのコンピュータのファイルをスキャンし、敏感な情報をアップロードできることが確認されました。
! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる
! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる
攻撃手口
攻撃者は複数のGitHubアカウントを制御し、悪意のあるプログラムを配布してプロジェクトの信頼性を高めている可能性があります。"crypto-layout-utils"に加えて、もう一つの"bs58-encrypt-utils"という悪意のあるパッケージが発見されました。これらの悪意のあるパッケージは2025年6月中旬から配布が始まりました。
! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれます
! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる
! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaユーザー資産が盗まれる
資金の流れ
オンチェーン分析ツールを使用して追跡したところ、一部の盗まれた資金がある取引所に移されたことがわかりました。
! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる
まとめと提案
攻撃者は合法的なオープンソースプロジェクトを装い、ユーザーに悪意のある依存関係を含むNode.jsプロジェクトをダウンロードして実行させることで、秘密鍵の漏洩や資産の盗難を引き起こします。この種の攻撃は、ソーシャルエンジニアリングと技術的手段を組み合わせており、完全に防御することが難しいです。
開発者とユーザーは、特にウォレットや秘密鍵の操作に関与する場合、出所不明のGitHubプロジェクトに対して高い警戒を保つことをお勧めします。デバッグを実行する必要がある場合は、独立したかつ機密データのない環境で行うべきです。
! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる
関連情報
! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる
! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる