Phân tích sự kiện người dùng Solana bị đánh cắp khóa riêng bởi gói NPM độc hại
Bối cảnh sự kiện
Vào ngày 2 tháng 7 năm 2025, một người dùng đã yêu cầu sự giúp đỡ từ đội ngũ an ninh, cho biết rằng tài sản tiền điện tử của họ đã bị đánh cắp sau khi sử dụng dự án mã nguồn mở "solana-pumpfun-bot" trên GitHub. Đội ngũ an ninh ngay lập tức tiến hành điều tra.
Quy trình khảo sát
Đội ngũ an ninh đã kiểm tra dự án GitHub này trước tiên và phát hiện thời gian gửi mã của nó tập trung và bất thường. Phân tích thêm về các phụ thuộc của dự án, họ phát hiện một gói bên thứ ba nghi vấn có tên "crypto-layout-utils". Gói này đã bị NPM chính thức gỡ bỏ, và phiên bản được chỉ định không xuất hiện trong lịch sử chính thức.
Thông qua việc kiểm tra tệp package-lock.json, đội ngũ đã phát hiện ra rằng kẻ tấn công đã thay thế liên kết tải xuống của gói này bằng một liên kết phát hành trên GitHub. Sau khi tải xuống và phân tích gói được làm nhiễu cao này, xác nhận rằng nó là một gói NPM độc hại, có khả năng quét tệp trên máy tính của người dùng và tải lên thông tin nhạy cảm.
Phương pháp tấn công
Kẻ tấn công có thể đã kiểm soát nhiều tài khoản GitHub để phân phối phần mềm độc hại và tăng độ tin cậy cho dự án. Ngoài "crypto-layout-utils", còn phát hiện một gói độc hại khác có tên "bs58-encrypt-utils". Những gói độc hại này bắt đầu được phân phối từ giữa tháng 6 năm 2025.
Dòng tiền
Sử dụng công cụ phân tích trên chuỗi để theo dõi, một phần số tiền bị đánh cắp đã được chuyển đến một nền tảng giao dịch nào đó.
Tóm tắt và đề xuất
Kẻ tấn công đã giả mạo các dự án mã nguồn mở hợp pháp, dụ dỗ người dùng tải xuống và chạy các dự án Node.js có chứa phụ thuộc độc hại, dẫn đến việc lộ khóa riêng và tài sản bị đánh cắp. Loại tấn công này kết hợp giữa kỹ thuật xã hội và các phương pháp kỹ thuật, khó có thể phòng ngừa hoàn toàn.
Khuyến nghị các nhà phát triển và người dùng cần giữ cảnh giác cao độ đối với các dự án GitHub không rõ nguồn gốc, đặc biệt là liên quan đến ví hoặc khóa riêng. Nếu cần chạy thử nghiệm, nên thực hiện trong một môi trường độc lập và không có dữ liệu nhạy cảm.
Thông tin liên quan
Nhiều kho GitHub liên quan đến hành vi độc hại đã được xác nhận
Gói NPM độc hại bao gồm "crypto-layout-utils" và "bs58-encrypt-utils"
Tên miền máy chủ tải lên dữ liệu gói độc hại là "githubshadow.xyz"
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
13 thích
Phần thưởng
13
7
Chia sẻ
Bình luận
0/400
MevHunter
· 07-24 02:35
Lại bị mắc kẹt rồi, vẫn không nghe lời khuyên.
Xem bản gốcTrả lời0
SpeakWithHatOn
· 07-24 01:41
Lại bị được chơi cho Suckers rồi, tsk tsk.
Xem bản gốcTrả lời0
DaoDeveloper
· 07-22 17:58
các degens cần kiểm tra các phụ thuộc của họ fr... các nguyên tắc bảo mật của solana xứng đáng nhận được tốt hơn thế này smh
Xem bản gốcTrả lời0
SoliditySlayer
· 07-21 07:11
又搞定一波đồ ngốc
Xem bản gốcTrả lời0
WalletDivorcer
· 07-21 03:20
Đừng để mắc bẫy nhé thằng nhóc
Xem bản gốcTrả lời0
Anon4461
· 07-21 03:13
Được chơi cho Suckers手法都翻新了
Xem bản gốcTrả lời0
SmartContractRebel
· 07-21 02:59
Lại xảy ra sự cố trộm coin? Đồ ngốc mới điển hình.
Hệ sinh thái Solana lại xuất hiện vụ trộm khóa riêng, gói NPM độc hại giả mạo dự án mã nguồn mở tấn công.
Phân tích sự kiện người dùng Solana bị đánh cắp khóa riêng bởi gói NPM độc hại
Bối cảnh sự kiện
Vào ngày 2 tháng 7 năm 2025, một người dùng đã yêu cầu sự giúp đỡ từ đội ngũ an ninh, cho biết rằng tài sản tiền điện tử của họ đã bị đánh cắp sau khi sử dụng dự án mã nguồn mở "solana-pumpfun-bot" trên GitHub. Đội ngũ an ninh ngay lập tức tiến hành điều tra.
Quy trình khảo sát
Đội ngũ an ninh đã kiểm tra dự án GitHub này trước tiên và phát hiện thời gian gửi mã của nó tập trung và bất thường. Phân tích thêm về các phụ thuộc của dự án, họ phát hiện một gói bên thứ ba nghi vấn có tên "crypto-layout-utils". Gói này đã bị NPM chính thức gỡ bỏ, và phiên bản được chỉ định không xuất hiện trong lịch sử chính thức.
Thông qua việc kiểm tra tệp package-lock.json, đội ngũ đã phát hiện ra rằng kẻ tấn công đã thay thế liên kết tải xuống của gói này bằng một liên kết phát hành trên GitHub. Sau khi tải xuống và phân tích gói được làm nhiễu cao này, xác nhận rằng nó là một gói NPM độc hại, có khả năng quét tệp trên máy tính của người dùng và tải lên thông tin nhạy cảm.
Phương pháp tấn công
Kẻ tấn công có thể đã kiểm soát nhiều tài khoản GitHub để phân phối phần mềm độc hại và tăng độ tin cậy cho dự án. Ngoài "crypto-layout-utils", còn phát hiện một gói độc hại khác có tên "bs58-encrypt-utils". Những gói độc hại này bắt đầu được phân phối từ giữa tháng 6 năm 2025.
Dòng tiền
Sử dụng công cụ phân tích trên chuỗi để theo dõi, một phần số tiền bị đánh cắp đã được chuyển đến một nền tảng giao dịch nào đó.
Tóm tắt và đề xuất
Kẻ tấn công đã giả mạo các dự án mã nguồn mở hợp pháp, dụ dỗ người dùng tải xuống và chạy các dự án Node.js có chứa phụ thuộc độc hại, dẫn đến việc lộ khóa riêng và tài sản bị đánh cắp. Loại tấn công này kết hợp giữa kỹ thuật xã hội và các phương pháp kỹ thuật, khó có thể phòng ngừa hoàn toàn.
Khuyến nghị các nhà phát triển và người dùng cần giữ cảnh giác cao độ đối với các dự án GitHub không rõ nguồn gốc, đặc biệt là liên quan đến ví hoặc khóa riêng. Nếu cần chạy thử nghiệm, nên thực hiện trong một môi trường độc lập và không có dữ liệu nhạy cảm.
Thông tin liên quan