Аналіз інциденту викрадення закритого ключа користувачами Solana через зловмисний NPM пакет
Фон події
2 липня 2025 року один користувач звернувся по допомогу до команди безпеки, стверджуючи, що після використання відкритого проекту на GitHub "solana-pumpfun-bot" його криптоактиви були вкрадені. Команда безпеки негайно розпочала розслідування.
Процес дослідження
Команда безпеки спочатку перевірила цей проект на GitHub і виявила, що часи комітів коду зосереджені та аномальні. Подальший аналіз залежностей проекту виявив підозрілий сторонній пакет під назвою "crypto-layout-utils". Цей пакет був знятий з NPM, а зазначена версія не з'являлася в офіційній історії.
Перевіряючи файл package-lock.json, команда виявила, що зловмисник замінив посилання для завантаження цього пакету на посилання на реліз GitHub. Після завантаження та аналізу цього сильно замаскованого пакету було підтверджено, що це шкідливий NPM пакет, який може сканувати файли комп'ютера користувача та завантажувати чутливу інформацію.
Методи атаки
Зловмисник міг контролювати кілька облікових записів GitHub для розповсюдження шкідливих програм та підвищення довіри до проектів. Окрім "crypto-layout-utils", також виявлено ще один шкідливий пакет під назвою "bs58-encrypt-utils". Ці шкідливі пакети почали розповсюджуватися з середини червня 2025 року.
Рух коштів
Використовуючи інструменти аналізу на блокчейні, було виявлено, що частина вкрадених коштів була переведена на певну торгову платформу.
Підсумки та рекомендації
Зловмисники маскуються під легітимні проєкти з відкритим кодом, спонукаючи користувачів завантажити та запустити Node.js проєкти з шкідливими залежностями, що призводить до витоку закритих ключів та крадіжки активів. Цей вид атак поєднує соціальну інженерію та технічні засоби, що робить їх важкими для повної оборони.
Рекомендується розробникам і користувачам бути особливо обережними з проектами на GitHub, джерело яких не відомо, особливо коли йдеться про операції з гаманцями або Закритими ключами. Якщо необхідно виконати налагодження, це слід робити в ізольованому середовищі без чутливих даних.
Відповідна інформація
Підтверджено, що кілька репозиторіїв GitHub, пов'язаних із шкідливою діяльністю, були виявлені.
Зловмисні пакунки NPM включають "crypto-layout-utils" та "bs58-encrypt-utils"
Зловмисні пакети даних завантажуються на домен сервера "githubshadow.xyz"
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
13 лайків
Нагородити
13
7
Поділіться
Прокоментувати
0/400
MevHunter
· 07-24 02:35
Знову попалися, і все ще не слухають порад.
Переглянути оригіналвідповісти на0
SpeakWithHatOn
· 07-24 01:41
Знову обдурювали людей, як лохів. Тс-тс.
Переглянути оригіналвідповісти на0
DaoDeveloper
· 07-22 17:58
дегенерати повинні перевірити свої залежності, бо... безпекові примітиви солани заслуговують на краще, ніж це, смх
У екосистемі Solana знову зафіксовано крадіжку закритих ключів: зловмисні пакети NPM маскуються під відкритий вихідний код.
Аналіз інциденту викрадення закритого ключа користувачами Solana через зловмисний NPM пакет
Фон події
2 липня 2025 року один користувач звернувся по допомогу до команди безпеки, стверджуючи, що після використання відкритого проекту на GitHub "solana-pumpfun-bot" його криптоактиви були вкрадені. Команда безпеки негайно розпочала розслідування.
Процес дослідження
Команда безпеки спочатку перевірила цей проект на GitHub і виявила, що часи комітів коду зосереджені та аномальні. Подальший аналіз залежностей проекту виявив підозрілий сторонній пакет під назвою "crypto-layout-utils". Цей пакет був знятий з NPM, а зазначена версія не з'являлася в офіційній історії.
Перевіряючи файл package-lock.json, команда виявила, що зловмисник замінив посилання для завантаження цього пакету на посилання на реліз GitHub. Після завантаження та аналізу цього сильно замаскованого пакету було підтверджено, що це шкідливий NPM пакет, який може сканувати файли комп'ютера користувача та завантажувати чутливу інформацію.
Методи атаки
Зловмисник міг контролювати кілька облікових записів GitHub для розповсюдження шкідливих програм та підвищення довіри до проектів. Окрім "crypto-layout-utils", також виявлено ще один шкідливий пакет під назвою "bs58-encrypt-utils". Ці шкідливі пакети почали розповсюджуватися з середини червня 2025 року.
Рух коштів
Використовуючи інструменти аналізу на блокчейні, було виявлено, що частина вкрадених коштів була переведена на певну торгову платформу.
Підсумки та рекомендації
Зловмисники маскуються під легітимні проєкти з відкритим кодом, спонукаючи користувачів завантажити та запустити Node.js проєкти з шкідливими залежностями, що призводить до витоку закритих ключів та крадіжки активів. Цей вид атак поєднує соціальну інженерію та технічні засоби, що робить їх важкими для повної оборони.
Рекомендується розробникам і користувачам бути особливо обережними з проектами на GitHub, джерело яких не відомо, особливо коли йдеться про операції з гаманцями або Закритими ключами. Якщо необхідно виконати налагодження, це слід робити в ізольованому середовищі без чутливих даних.
Відповідна інформація