Ativos de usuários da Solana roubados: Código aberto oculta código malicioso
No início de julho de 2025, um usuário descobriu que seus ativos criptográficos haviam sido roubados após usar um projeto de Código aberto no GitHub, e imediatamente pediu ajuda à equipe de segurança. Após investigação, descobriu-se que se tratava de um ataque cuidadosamente planejado, envolvendo um projeto de Código aberto disfarçado e pacotes NPM maliciosos.
Os investigadores acederam primeiro ao repositório GitHub do projeto em questão. Embora o projeto tenha um número elevado de Stars e Forks, o tempo de submissão do código concentra-se há três semanas, carecendo de características de atualização contínua, o que levantou suspeitas nos investigadores.
Uma análise mais aprofundada revelou que o projeto depende de um pacote de terceiros chamado crypto-layout-utils. Este pacote foi removido oficialmente do NPM e a versão especificada no package.json não existe nos registros históricos do NPM.
A pista chave aparece no arquivo package-lock.json: o atacante substituiu o link de download do crypto-layout-utils por um endereço do GitHub. Após baixar e analisar este pacote de dependência suspeito, os investigadores descobriram que se tratava de um código malicioso altamente ofuscado.
Após a desofuscação, confirma-se que este pacote NPM irá escanear os arquivos no computador do usuário, à procura de conteúdos relacionados com carteiras ou chaves privadas, e, uma vez encontrados, irá enviá-los para um servidor controlado pelo atacante.
A investigação também descobriu que os atacantes podem ter controlado várias contas do GitHub para replicar projetos maliciosos e aumentar sua credibilidade. Alguns projetos relacionados utilizaram outro pacote malicioso bs58-encrypt-utils-1.0.3, que começou a ser distribuído a partir de 12 de junho de 2025.
Através de ferramentas de análise em cadeia, foi descoberto que um endereço de atacante transferiu fundos roubados para uma plataforma de negociação de criptomoedas.
No geral, este ataque disfarçou-se como um projeto de Código aberto legítimo, induzindo os usuários a baixar e executar software contendo código malicioso. Os atacantes também aumentaram a popularidade do projeto para aumentar a credibilidade, fazendo com que os usuários executassem um projeto com dependências maliciosas, resultando em vazamento de chaves privadas e roubo de ativos.
Esta técnica de ataque combina engenharia social e métodos técnicos, tornando difícil a defesa completa, mesmo dentro da organização. Recomenda-se que desenvolvedores e usuários mantenham uma vigilância elevada sobre projetos do GitHub de origem desconhecida, especialmente aqueles que envolvem operações com carteiras ou chaves privadas. Se precisar executar depurações, é melhor fazê-lo em um ambiente isolado e sem dados sensíveis.
Projetos envolvidos e informações sobre pacotes maliciosos
Vários repositórios do GitHub foram encontrados a participar na disseminação de código malicioso, incluindo mas não se limitando a:
2723799947qq2022/solana-pumpfun-bot
2kwkkk/solana-pumpfun-bot
790659193qqch/solana-pumpfun-bot
7arlystar/solana-pumpfun-bot
918715c83/solana-pumpfun-bot
Pacote NPM malicioso:
crypto-layout-utils
bs58-encrypt-utils
Nome de domínio do servidor controlado pelo atacante:
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
18 gostos
Recompensa
18
3
Partilhar
Comentar
0/400
LightningAllInHero
· 08-01 19:43
装moeda被fazer as pessoas de parvas啦 又不长记性
Ver originalResponder0
OffchainWinner
· 08-01 19:38
又一个新idiotas诞生了
Ver originalResponder0
CryptoFortuneTeller
· 08-01 19:36
Quem ainda acredita em projetos de Código aberto, que se dane.
Projeto Solana sofre ataque de código malicioso, Chave privada dos usuários foi roubada e ativos foram perdidos.
Ativos de usuários da Solana roubados: Código aberto oculta código malicioso
No início de julho de 2025, um usuário descobriu que seus ativos criptográficos haviam sido roubados após usar um projeto de Código aberto no GitHub, e imediatamente pediu ajuda à equipe de segurança. Após investigação, descobriu-se que se tratava de um ataque cuidadosamente planejado, envolvendo um projeto de Código aberto disfarçado e pacotes NPM maliciosos.
Os investigadores acederam primeiro ao repositório GitHub do projeto em questão. Embora o projeto tenha um número elevado de Stars e Forks, o tempo de submissão do código concentra-se há três semanas, carecendo de características de atualização contínua, o que levantou suspeitas nos investigadores.
Uma análise mais aprofundada revelou que o projeto depende de um pacote de terceiros chamado crypto-layout-utils. Este pacote foi removido oficialmente do NPM e a versão especificada no package.json não existe nos registros históricos do NPM.
A pista chave aparece no arquivo package-lock.json: o atacante substituiu o link de download do crypto-layout-utils por um endereço do GitHub. Após baixar e analisar este pacote de dependência suspeito, os investigadores descobriram que se tratava de um código malicioso altamente ofuscado.
Após a desofuscação, confirma-se que este pacote NPM irá escanear os arquivos no computador do usuário, à procura de conteúdos relacionados com carteiras ou chaves privadas, e, uma vez encontrados, irá enviá-los para um servidor controlado pelo atacante.
A investigação também descobriu que os atacantes podem ter controlado várias contas do GitHub para replicar projetos maliciosos e aumentar sua credibilidade. Alguns projetos relacionados utilizaram outro pacote malicioso bs58-encrypt-utils-1.0.3, que começou a ser distribuído a partir de 12 de junho de 2025.
Através de ferramentas de análise em cadeia, foi descoberto que um endereço de atacante transferiu fundos roubados para uma plataforma de negociação de criptomoedas.
No geral, este ataque disfarçou-se como um projeto de Código aberto legítimo, induzindo os usuários a baixar e executar software contendo código malicioso. Os atacantes também aumentaram a popularidade do projeto para aumentar a credibilidade, fazendo com que os usuários executassem um projeto com dependências maliciosas, resultando em vazamento de chaves privadas e roubo de ativos.
Esta técnica de ataque combina engenharia social e métodos técnicos, tornando difícil a defesa completa, mesmo dentro da organização. Recomenda-se que desenvolvedores e usuários mantenham uma vigilância elevada sobre projetos do GitHub de origem desconhecida, especialmente aqueles que envolvem operações com carteiras ou chaves privadas. Se precisar executar depurações, é melhor fazê-lo em um ambiente isolado e sem dados sensíveis.
Projetos envolvidos e informações sobre pacotes maliciosos
Vários repositórios do GitHub foram encontrados a participar na disseminação de código malicioso, incluindo mas não se limitando a:
Pacote NPM malicioso:
Nome de domínio do servidor controlado pelo atacante: