Анализ инцидента кражи закрытого ключа у пользователей Solana с помощью вредоносного пакета NPM
Фоновая информация
2 июля 2025 года пользователь обратился в команду безопасности с просьбой о помощи, сообщив, что его криптоактивы были украдены после использования открытого проекта на GitHub "solana-pumpfun-bot". Команда безопасности немедленно начала расследование.
Процесс расследования
Команда безопасности сначала проверила проект на GitHub и обнаружила, что время отправки кода сосредоточено и необычно. Дальнейший анализ зависимостей проекта выявил подозрительный сторонний пакет под названием "crypto-layout-utils". Этот пакет был удален с официального сайта NPM, и указанная версия не появилась в официальной истории.
Проверив файл package-lock.json, команда обнаружила, что злоумышленник заменил ссылку для загрузки этого пакета на ссылку на релиз GitHub. После загрузки и анализа этого сильно запутанного пакета было подтверждено, что это вредоносный NPM пакет, который может сканировать файлы компьютера пользователя и загружать конфиденциальную информацию.
Способы атаки
Атакующий мог контролировать несколько аккаунтов GitHub для распространения вредоносных программ и повышения доверия к проектам. Кроме "crypto-layout-utils", был обнаружен еще один вредоносный пакет под названием "bs58-encrypt-utils". Эти вредоносные пакеты начали распространяться с середины июня 2025 года.
Движение средств
Используя инструменты анализа на блокчейне, было выявлено, что часть украденных средств была переведена на одну из торговых платформ.
Резюме и рекомендации
Атакующие маскируют законные открытые проекты, вводя пользователей в заблуждение, чтобы они скачали и запустили Node.js проекты с вредоносными зависимостями, что приводит к утечке закрытого ключа и краже активов. Этот тип атак сочетает в себе социальную инженерию и технические средства, что делает их трудными для полного предотвращения.
Рекомендуется разработчикам и пользователям быть крайне осторожными с проектами на GitHub, источники которых неизвестны, особенно когда речь идет о кошельках или Закрытых ключах. Если требуется отладка, следует проводить её в изолированной среде, не содержащей конфиденциальных данных.
Связанная информация
Несколько GitHub-репозиториев, связанных с вредоносной деятельностью, были подтверждены.
Злонамеренные пакеты NPM включают "crypto-layout-utils" и "bs58-encrypt-utils"
Зловредные пакеты данных загружаются на сервер по доменному имени "githubshadow.xyz"
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
13 Лайков
Награда
13
7
Поделиться
комментарий
0/400
MevHunter
· 07-24 02:35
Снова попались в ловушку, и не слушают совет.
Посмотреть ОригиналОтветить0
SpeakWithHatOn
· 07-24 01:41
Снова будут играть для лохов, тьфу-тьфу.
Посмотреть ОригиналОтветить0
DaoDeveloper
· 07-22 17:58
дегенераты должны проверить свои зависимости, потому что... безопасность примитивов соланы заслуживает лучшего, чем это, смх
Посмотреть ОригиналОтветить0
SoliditySlayer
· 07-21 07:11
Еще раз справились с неудачниками
Посмотреть ОригиналОтветить0
WalletDivorcer
· 07-21 03:20
Не попадайся в ловушку, а то,臭小子.
Посмотреть ОригиналОтветить0
Anon4461
· 07-21 03:13
Будут играть для лохов手法都翻新了
Посмотреть ОригиналОтветить0
SmartContractRebel
· 07-21 02:59
Снова произошел инцидент с кражей токенов? Типичные неудачники
В экосистеме Solana снова зафиксированы кражи закрытых ключей: вредоносные пакеты NPM маскируются под открытые исходные коды.
Анализ инцидента кражи закрытого ключа у пользователей Solana с помощью вредоносного пакета NPM
Фоновая информация
2 июля 2025 года пользователь обратился в команду безопасности с просьбой о помощи, сообщив, что его криптоактивы были украдены после использования открытого проекта на GitHub "solana-pumpfun-bot". Команда безопасности немедленно начала расследование.
Процесс расследования
Команда безопасности сначала проверила проект на GitHub и обнаружила, что время отправки кода сосредоточено и необычно. Дальнейший анализ зависимостей проекта выявил подозрительный сторонний пакет под названием "crypto-layout-utils". Этот пакет был удален с официального сайта NPM, и указанная версия не появилась в официальной истории.
Проверив файл package-lock.json, команда обнаружила, что злоумышленник заменил ссылку для загрузки этого пакета на ссылку на релиз GitHub. После загрузки и анализа этого сильно запутанного пакета было подтверждено, что это вредоносный NPM пакет, который может сканировать файлы компьютера пользователя и загружать конфиденциальную информацию.
Способы атаки
Атакующий мог контролировать несколько аккаунтов GitHub для распространения вредоносных программ и повышения доверия к проектам. Кроме "crypto-layout-utils", был обнаружен еще один вредоносный пакет под названием "bs58-encrypt-utils". Эти вредоносные пакеты начали распространяться с середины июня 2025 года.
Движение средств
Используя инструменты анализа на блокчейне, было выявлено, что часть украденных средств была переведена на одну из торговых платформ.
Резюме и рекомендации
Атакующие маскируют законные открытые проекты, вводя пользователей в заблуждение, чтобы они скачали и запустили Node.js проекты с вредоносными зависимостями, что приводит к утечке закрытого ключа и краже активов. Этот тип атак сочетает в себе социальную инженерию и технические средства, что делает их трудными для полного предотвращения.
Рекомендуется разработчикам и пользователям быть крайне осторожными с проектами на GitHub, источники которых неизвестны, особенно когда речь идет о кошельках или Закрытых ключах. Если требуется отладка, следует проводить её в изолированной среде, не содержащей конфиденциальных данных.
Связанная информация