Análise do incidente de roubo de chave privada de usuários Solana por pacotes NPM maliciosos
Contexto do evento
No dia 2 de julho de 2025, um usuário pediu ajuda à equipe de segurança, afirmando que seus ativos criptográficos foram roubados após usar o projeto de código aberto "solana-pumpfun-bot" no GitHub. A equipe de segurança imediatamente iniciou uma investigação.
Processo de investigação
A equipe de segurança primeiro verificou o projeto no GitHub e descobriu que os horários dos commits de código eram concentrados e anômalos. Uma análise mais aprofundada das dependências do projeto revelou um pacote de terceiros suspeito chamado "crypto-layout-utils". Este pacote foi removido oficialmente do NPM, e a versão especificada não aparece nos registros históricos oficiais.
Ao verificar o arquivo package-lock.json, a equipe descobriu que o atacante substituiu o link de download do pacote por um link de release do GitHub. Após baixar e analisar este pacote altamente ofuscado, confirmou-se que se tratava de um pacote NPM malicioso, capaz de escanear arquivos do computador do usuário e fazer upload de informações sensíveis.
Métodos de ataque
Os atacantes podem ter controlado várias contas do GitHub para distribuir malware e aumentar a credibilidade do projeto. Além de "crypto-layout-utils", foi encontrado outro pacote malicioso chamado "bs58-encrypt-utils". Esses pacotes maliciosos começaram a ser distribuídos a partir de meados de junho de 2025.
Fluxo de capital
Usando ferramentas de análise on-chain, foi descoberto que parte dos fundos roubados foi transferida para uma determinada plataforma de negociação.
Resumo e Sugestões
Os atacantes disfarçam projetos de código aberto legítimos, induzindo os usuários a baixar e executar projetos Node.js com dependências maliciosas, levando ao vazamento da Chave privada e ao roubo de ativos. Este tipo de ataque combina engenharia social e técnicas, tornando-se difícil de defender completamente.
É aconselhável que desenvolvedores e usuários mantenham uma elevada vigilância em relação a projetos do GitHub de origem desconhecida, especialmente aqueles que envolvem operações com carteiras ou Chave privada. Se for necessário executar depurações, isso deve ser feito em um ambiente isolado e sem dados sensíveis.
Informação relacionada
Vários repositórios do GitHub envolvidos em comportamentos maliciosos foram confirmados
Pacotes NPM maliciosos incluem "crypto-layout-utils" e "bs58-encrypt-utils"
O domínio do servidor para upload de dados de pacotes maliciosos é "githubshadow.xyz"
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
13 Curtidas
Recompensa
13
7
Compartilhar
Comentário
0/400
MevHunter
· 07-24 02:35
Mais uma vez foi enganado, e ainda não ouve conselhos.
Ver originalResponder0
SpeakWithHatOn
· 07-24 01:41
Outra vez fui enganado por idiotas. Tsk tsk.
Ver originalResponder0
DaoDeveloper
· 07-22 17:58
os degens precisam auditar suas dependências fr... os primitivos de segurança da solana merecem melhor do que isso smh
Ver originalResponder0
SoliditySlayer
· 07-21 07:11
Outra vez a lidar com uma onda de idiotas
Ver originalResponder0
WalletDivorcer
· 07-21 03:20
Não se deixe levar pelas armadilhas, seu fedido.
Ver originalResponder0
Anon4461
· 07-21 03:13
Ser enganado por idiotas, as técnicas foram renovadas.
Ver originalResponder0
SmartContractRebel
· 07-21 02:59
Já houve outro incidente de roubo de moeda? Idiota típico.
Roubo de chave privada no ecossistema Solana: pacotes NPM maliciosos disfarçados de projetos de código aberto atacam.
Análise do incidente de roubo de chave privada de usuários Solana por pacotes NPM maliciosos
Contexto do evento
No dia 2 de julho de 2025, um usuário pediu ajuda à equipe de segurança, afirmando que seus ativos criptográficos foram roubados após usar o projeto de código aberto "solana-pumpfun-bot" no GitHub. A equipe de segurança imediatamente iniciou uma investigação.
Processo de investigação
A equipe de segurança primeiro verificou o projeto no GitHub e descobriu que os horários dos commits de código eram concentrados e anômalos. Uma análise mais aprofundada das dependências do projeto revelou um pacote de terceiros suspeito chamado "crypto-layout-utils". Este pacote foi removido oficialmente do NPM, e a versão especificada não aparece nos registros históricos oficiais.
Ao verificar o arquivo package-lock.json, a equipe descobriu que o atacante substituiu o link de download do pacote por um link de release do GitHub. Após baixar e analisar este pacote altamente ofuscado, confirmou-se que se tratava de um pacote NPM malicioso, capaz de escanear arquivos do computador do usuário e fazer upload de informações sensíveis.
Métodos de ataque
Os atacantes podem ter controlado várias contas do GitHub para distribuir malware e aumentar a credibilidade do projeto. Além de "crypto-layout-utils", foi encontrado outro pacote malicioso chamado "bs58-encrypt-utils". Esses pacotes maliciosos começaram a ser distribuídos a partir de meados de junho de 2025.
Fluxo de capital
Usando ferramentas de análise on-chain, foi descoberto que parte dos fundos roubados foi transferida para uma determinada plataforma de negociação.
Resumo e Sugestões
Os atacantes disfarçam projetos de código aberto legítimos, induzindo os usuários a baixar e executar projetos Node.js com dependências maliciosas, levando ao vazamento da Chave privada e ao roubo de ativos. Este tipo de ataque combina engenharia social e técnicas, tornando-se difícil de defender completamente.
É aconselhável que desenvolvedores e usuários mantenham uma elevada vigilância em relação a projetos do GitHub de origem desconhecida, especialmente aqueles que envolvem operações com carteiras ou Chave privada. Se for necessário executar depurações, isso deve ser feito em um ambiente isolado e sem dados sensíveis.
Informação relacionada