Les actifs des utilisateurs de Solana volés : un projet open source cache du code malveillant
Début juillet 2025, un utilisateur a découvert que ses actifs cryptographiques avaient été volés après avoir utilisé un projet Open Source sur GitHub, et a immédiatement demandé de l'aide à l'équipe de sécurité. Après enquête, il s'est avéré qu'il s'agissait d'un incident d'attaque soigneusement planifié, impliquant des projets Open Source déguisés et des paquets NPM malveillants.
Les enquêteurs ont d'abord visité le dépôt GitHub du projet en question. Bien que le projet ait un nombre élevé d'étoiles et de forks, ses soumissions de code sont concentrées sur il y a trois semaines, manquant de caractéristiques de mise à jour continue, ce qui a suscité des soupçons chez les enquêteurs.
Une analyse plus approfondie révèle que le projet dépend d'un paquet tiers nommé crypto-layout-utils. Ce paquet a été retiré par les autorités de NPM, et la version spécifiée dans le fichier package.json n'existe pas dans l'historique officiel de NPM.
Des indices clés apparaissent dans le fichier package-lock.json : l'attaquant a remplacé le lien de téléchargement de crypto-layout-utils par une adresse sur GitHub. Après avoir téléchargé et analysé ce paquet de dépendance suspect, les enquêteurs ont découvert qu'il s'agissait d'un code malveillant hautement obfusqué.
Après déconfusion, il est confirmé que ce paquet NPM va scanner les fichiers sur l'ordinateur de l'utilisateur à la recherche de contenu lié aux portefeuilles ou aux clés privées, et dès qu'il en trouve, il les télécharge sur un serveur contrôlé par l'attaquant.
L'enquête a également révélé que les attaquants pourraient contrôler plusieurs comptes GitHub, utilisés pour copier des projets malveillants et augmenter leur crédibilité. Certains projets connexes ont utilisé un autre paquet malveillant bs58-encrypt-utils-1.0.3, qui a commencé à être distribué à partir du 12 juin 2025.
Grâce aux outils d'analyse on-chain, il a été découvert qu'une adresse d'attaquant avait transféré des fonds volés vers une plateforme d'échange de cryptomonnaies.
Dans l'ensemble, cette attaque a consisté à se faire passer pour un projet Open Source légitime, incitant les utilisateurs à télécharger et à exécuter des logiciels contenant du code malveillant. Les attaquants ont également augmenté la crédibilité en faisant grimper la popularité du projet, ce qui a conduit les utilisateurs à exécuter des projets contenant des dépendances malveillantes sans méfiance, entraînant la fuite de clés privées et le vol d'actifs.
Cette méthode d'attaque combine l'ingénierie sociale et des techniques, rendant difficile une défense complète même au sein de l'organisation. Il est recommandé aux développeurs et aux utilisateurs de rester très vigilants envers les projets GitHub d'origine inconnue, en particulier ceux impliquant des opérations de portefeuille ou de clé privée. En cas de nécessité de débogage, il est préférable de le faire dans un environnement isolé et sans données sensibles.
Projets concernés et informations sur les paquets malveillants
Plusieurs dépôts GitHub ont été découverts en train de propager du code malveillant, y compris mais sans s'y limiter à :
2723799947qq2022/solana-pumpfun-bot
2kwkkk/solana-pumpfun-bot
790659193qqch/solana-pumpfun-bot
7arlystar/solana-pumpfun-bot
918715c83/solana-pumpfun-bot
Paquet NPM malveillant :
crypto-layout-utils
bs58-encrypt-utils
Nom de domaine du serveur contrôlé par l'attaquant :
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
20 J'aime
Récompense
20
3
Partager
Commentaire
0/400
LightningAllInHero
· 08-01 19:43
Le jeton a été pris pour un idiot, et je ne me souviens toujours pas.
Voir l'originalRépondre0
OffchainWinner
· 08-01 19:38
Encore un nouveau pigeon est né.
Voir l'originalRépondre0
CryptoFortuneTeller
· 08-01 19:36
Qui croit encore que les projets Open Source sont fiables, c'est de la malchance pour eux.
Le projet Solana a été attaqué par un code malveillant, les clés privées des utilisateurs ont été volées et des actifs ont été perdus.
Les actifs des utilisateurs de Solana volés : un projet open source cache du code malveillant
Début juillet 2025, un utilisateur a découvert que ses actifs cryptographiques avaient été volés après avoir utilisé un projet Open Source sur GitHub, et a immédiatement demandé de l'aide à l'équipe de sécurité. Après enquête, il s'est avéré qu'il s'agissait d'un incident d'attaque soigneusement planifié, impliquant des projets Open Source déguisés et des paquets NPM malveillants.
Les enquêteurs ont d'abord visité le dépôt GitHub du projet en question. Bien que le projet ait un nombre élevé d'étoiles et de forks, ses soumissions de code sont concentrées sur il y a trois semaines, manquant de caractéristiques de mise à jour continue, ce qui a suscité des soupçons chez les enquêteurs.
Une analyse plus approfondie révèle que le projet dépend d'un paquet tiers nommé crypto-layout-utils. Ce paquet a été retiré par les autorités de NPM, et la version spécifiée dans le fichier package.json n'existe pas dans l'historique officiel de NPM.
Des indices clés apparaissent dans le fichier package-lock.json : l'attaquant a remplacé le lien de téléchargement de crypto-layout-utils par une adresse sur GitHub. Après avoir téléchargé et analysé ce paquet de dépendance suspect, les enquêteurs ont découvert qu'il s'agissait d'un code malveillant hautement obfusqué.
Après déconfusion, il est confirmé que ce paquet NPM va scanner les fichiers sur l'ordinateur de l'utilisateur à la recherche de contenu lié aux portefeuilles ou aux clés privées, et dès qu'il en trouve, il les télécharge sur un serveur contrôlé par l'attaquant.
L'enquête a également révélé que les attaquants pourraient contrôler plusieurs comptes GitHub, utilisés pour copier des projets malveillants et augmenter leur crédibilité. Certains projets connexes ont utilisé un autre paquet malveillant bs58-encrypt-utils-1.0.3, qui a commencé à être distribué à partir du 12 juin 2025.
Grâce aux outils d'analyse on-chain, il a été découvert qu'une adresse d'attaquant avait transféré des fonds volés vers une plateforme d'échange de cryptomonnaies.
Dans l'ensemble, cette attaque a consisté à se faire passer pour un projet Open Source légitime, incitant les utilisateurs à télécharger et à exécuter des logiciels contenant du code malveillant. Les attaquants ont également augmenté la crédibilité en faisant grimper la popularité du projet, ce qui a conduit les utilisateurs à exécuter des projets contenant des dépendances malveillantes sans méfiance, entraînant la fuite de clés privées et le vol d'actifs.
Cette méthode d'attaque combine l'ingénierie sociale et des techniques, rendant difficile une défense complète même au sein de l'organisation. Il est recommandé aux développeurs et aux utilisateurs de rester très vigilants envers les projets GitHub d'origine inconnue, en particulier ceux impliquant des opérations de portefeuille ou de clé privée. En cas de nécessité de débogage, il est préférable de le faire dans un environnement isolé et sans données sensibles.
Projets concernés et informations sur les paquets malveillants
Plusieurs dépôts GitHub ont été découverts en train de propager du code malveillant, y compris mais sans s'y limiter à :
Paquet NPM malveillant :
Nom de domaine du serveur contrôlé par l'attaquant :