Análise do incidente de roubo de ativos de usuários Solana devido a pacotes NPM maliciosos que roubaram Chave privada
No início de julho de 2025, um incidente de roubo de ativos dirigido a usuários da Solana chamou a atenção da equipe de segurança. Uma vítima descobriu que seus ativos criptográficos foram roubados após usar um projeto de código aberto hospedado no GitHub. Após uma investigação aprofundada, a equipe de segurança revelou uma cadeia de ataque cuidadosamente elaborada.
Os atacantes se disfarçam como projetos de código aberto legítimos, induzindo os usuários a baixar e executar projetos Node.js que contêm código malicioso. Este projeto chamado "solana-pumpfun-bot" parece ser muito popular à primeira vista, com um número elevado de Stars e Forks. No entanto, seu histórico de commits de código revela padrões anormais, carecendo de características de atualizações contínuas.
Uma análise mais aprofundada revelou que o projeto dependia de um pacote de terceiros suspeito chamado "crypto-layout-utils". Este pacote foi removido oficialmente do NPM, mas os atacantes, ao modificar o arquivo package-lock.json, substituíram o link de download pelo endereço do repositório GitHub que controlavam, continuando a distribuir código malicioso.
Após a análise deste pacote malicioso altamente ofuscado, a equipe de segurança confirmou que sua função é escanear arquivos sensíveis no computador do usuário, especialmente aqueles relacionados a carteiras de criptomoedas e Chave privada. Assim que um arquivo-alvo é encontrado, ele é enviado para um servidor controlado pelo atacante.
Os atacantes também adotaram a estratégia de colaboração com múltiplas contas, aumentando a credibilidade do projeto e expandindo o alcance das vítimas por meio de uma grande quantidade de operações Fork e Star. Além de "crypto-layout-utils", foi descoberto outro pacote malicioso chamado "bs58-encrypt-utils" envolvido neste ataque.
Usar ferramentas de análise on-chain para rastrear o fluxo de fundos roubados, descobrindo que parte dos fundos foi transferida para uma determinada plataforma de negociação.
Este incidente destaca os desafios de segurança enfrentados pela comunidade de código aberto. Os atacantes aproveitaram a confiança dos usuários nos projetos do GitHub, combinando engenharia social e técnicas tecnológicas, para realizar um ataque complexo. Para desenvolvedores e usuários, é crucial manter uma vigilância elevada ao lidar com projetos que envolvem ativos criptográficos. Recomenda-se testar códigos de fontes desconhecidas em um ambiente isolado e estar sempre atento à autenticidade e à credibilidade do projeto.
Este incidente envolve vários repositórios GitHub maliciosos e pacotes NPM, a equipe de segurança listou informações relevantes para referência e prevenção da comunidade. A natureza oculta e enganadora desse tipo de ataque é extremamente forte, lembrando-nos que precisamos ser mais cautelosos ao explorar novos projetos, especialmente quando se trata de operações sensíveis.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
13 Curtidas
Recompensa
13
6
Compartilhar
Comentário
0/400
MidnightSeller
· 3h atrás
Da próxima vez, veja com atenção antes de enganar os idiotas.
Ver originalResponder0
MysteriousZhang
· 13h atrás
Ser enganado por idiotas lah
Ver originalResponder0
OnChainSleuth
· 13h atrás
Triste, ser enganado por idiotas
Ver originalResponder0
TaxEvader
· 13h atrás
Mais uma roda da velha armadilha
Ver originalResponder0
TerraNeverForget
· 13h atrás
Os idiotas ainda são jovens.
Ver originalResponder0
SignatureCollector
· 13h atrás
Não viu o que estava a acontecer e acabou por ser apanhado~
Pacotes NPM maliciosos roubam Chaves privadas Solana Projetos de código aberto escondem recifes
Análise do incidente de roubo de ativos de usuários Solana devido a pacotes NPM maliciosos que roubaram Chave privada
No início de julho de 2025, um incidente de roubo de ativos dirigido a usuários da Solana chamou a atenção da equipe de segurança. Uma vítima descobriu que seus ativos criptográficos foram roubados após usar um projeto de código aberto hospedado no GitHub. Após uma investigação aprofundada, a equipe de segurança revelou uma cadeia de ataque cuidadosamente elaborada.
Os atacantes se disfarçam como projetos de código aberto legítimos, induzindo os usuários a baixar e executar projetos Node.js que contêm código malicioso. Este projeto chamado "solana-pumpfun-bot" parece ser muito popular à primeira vista, com um número elevado de Stars e Forks. No entanto, seu histórico de commits de código revela padrões anormais, carecendo de características de atualizações contínuas.
Uma análise mais aprofundada revelou que o projeto dependia de um pacote de terceiros suspeito chamado "crypto-layout-utils". Este pacote foi removido oficialmente do NPM, mas os atacantes, ao modificar o arquivo package-lock.json, substituíram o link de download pelo endereço do repositório GitHub que controlavam, continuando a distribuir código malicioso.
Após a análise deste pacote malicioso altamente ofuscado, a equipe de segurança confirmou que sua função é escanear arquivos sensíveis no computador do usuário, especialmente aqueles relacionados a carteiras de criptomoedas e Chave privada. Assim que um arquivo-alvo é encontrado, ele é enviado para um servidor controlado pelo atacante.
Os atacantes também adotaram a estratégia de colaboração com múltiplas contas, aumentando a credibilidade do projeto e expandindo o alcance das vítimas por meio de uma grande quantidade de operações Fork e Star. Além de "crypto-layout-utils", foi descoberto outro pacote malicioso chamado "bs58-encrypt-utils" envolvido neste ataque.
Usar ferramentas de análise on-chain para rastrear o fluxo de fundos roubados, descobrindo que parte dos fundos foi transferida para uma determinada plataforma de negociação.
Este incidente destaca os desafios de segurança enfrentados pela comunidade de código aberto. Os atacantes aproveitaram a confiança dos usuários nos projetos do GitHub, combinando engenharia social e técnicas tecnológicas, para realizar um ataque complexo. Para desenvolvedores e usuários, é crucial manter uma vigilância elevada ao lidar com projetos que envolvem ativos criptográficos. Recomenda-se testar códigos de fontes desconhecidas em um ambiente isolado e estar sempre atento à autenticidade e à credibilidade do projeto.
Este incidente envolve vários repositórios GitHub maliciosos e pacotes NPM, a equipe de segurança listou informações relevantes para referência e prevenção da comunidade. A natureza oculta e enganadora desse tipo de ataque é extremamente forte, lembrando-nos que precisamos ser mais cautelosos ao explorar novos projetos, especialmente quando se trata de operações sensíveis.