Активы пользователей Solana украдены: Открытый исходный код проекта скрывает вредоносный код
В начале июля 2025 года один пользователь, воспользовавшись проектом с открытым исходным кодом на GitHub, обнаружил, что его криптоактивы были украдены, и сразу же обратился за помощью к команде безопасности. В ходе расследования было установлено, что это была тщательно спланированная атака, связанная с замаскированными проектами с открытым исходным кодом и вредоносными пакетами NPM.
Следователи сначала посетили репозиторий проекта на GitHub. Хотя у проекта много звезд и форков, время внесения изменений в код сосредоточено на три недели назад, что вызывает подозрения у следователей из-за отсутствия постоянных обновлений.
Дальнейший анализ показал, что проект зависит от стороннего пакета под названием crypto-layout-utils. Этот пакет был удален из официального NPM, и версия, указанная в package.json, отсутствует в официальной истории NPM.
Ключевая подсказка появилась в файле package-lock.json: злоумышленник заменил ссылку на загрузку crypto-layout-utils на адрес на GitHub. После загрузки и анализа этого подозрительного пакета зависимости следователи обнаружили, что это высоко замаскированный вредоносный код.
После устранения неоднозначности подтверждено, что этот пакет NPM будет сканировать файлы на компьютере пользователя в поисках содержимого, связанного с кошельками или приватными ключами, и при обнаружении загружать его на сервер, контролируемый злоумышленником.
Исследование также показало, что злоумышленники могли контролировать несколько аккаунтов GitHub, чтобы копировать вредоносные проекты и повышать их доверие. Некоторые связанные проекты использовали другой вредоносный пакет bs58-encrypt-utils-1.0.3, который начал распространяться с 12 июня 2025 года.
С помощью инструментов анализа на блокчейне было установлено, что адрес злоумышленника после кражи средств перевел их на платформу криптовалютной торговли.
В целом, эта атака осуществлялась путем маскировки под легитимные Открытый исходный код проекты, что побуждало пользователей загружать и запускать программное обеспечение с вредоносным кодом. Нападающие также увеличивали популярность проекта, чтобы повысить доверие, что приводило к тому, что пользователи без опасений запускали проекты с вредоносными зависимостями, в результате чего произошла утечка приватных ключей и кража активов.
Этот метод атаки сочетает в себе социальную инженерию и технические средства, и его трудно полностью защитить даже внутри организации. Рекомендуется разработчикам и пользователям проявлять повышенную бдительность к проектам на GitHub с неизвестным источником, особенно если они связаны с операциями с кошельками или приватными ключами. Если необходимо провести отладку, лучше делать это в изолированной среде, не содержащей конфиденциальных данных.
Информация о вовлеченных проектах и вредоносных пакетах
Несколько репозиториев GitHub были обнаружены как участвующие в распространении вредоносного кода, включая, но не ограничиваясь:
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
18 Лайков
Награда
18
3
Поделиться
комментарий
0/400
LightningAllInHero
· 08-01 19:43
装токен被разыгрывайте людей как лохов啦 又不长记性
Посмотреть ОригиналОтветить0
OffchainWinner
· 08-01 19:38
Еще одни новые неудачники появились.
Посмотреть ОригиналОтветить0
CryptoFortuneTeller
· 08-01 19:36
Кто еще верит в открытый исходный код, тот сам виноват.
Проект Solana подвергся атаке с использованием вредоносного кода, в результате чего были похищены закрытые ключи пользователей и утрачены активы.
Активы пользователей Solana украдены: Открытый исходный код проекта скрывает вредоносный код
В начале июля 2025 года один пользователь, воспользовавшись проектом с открытым исходным кодом на GitHub, обнаружил, что его криптоактивы были украдены, и сразу же обратился за помощью к команде безопасности. В ходе расследования было установлено, что это была тщательно спланированная атака, связанная с замаскированными проектами с открытым исходным кодом и вредоносными пакетами NPM.
Следователи сначала посетили репозиторий проекта на GitHub. Хотя у проекта много звезд и форков, время внесения изменений в код сосредоточено на три недели назад, что вызывает подозрения у следователей из-за отсутствия постоянных обновлений.
Дальнейший анализ показал, что проект зависит от стороннего пакета под названием crypto-layout-utils. Этот пакет был удален из официального NPM, и версия, указанная в package.json, отсутствует в официальной истории NPM.
Ключевая подсказка появилась в файле package-lock.json: злоумышленник заменил ссылку на загрузку crypto-layout-utils на адрес на GitHub. После загрузки и анализа этого подозрительного пакета зависимости следователи обнаружили, что это высоко замаскированный вредоносный код.
После устранения неоднозначности подтверждено, что этот пакет NPM будет сканировать файлы на компьютере пользователя в поисках содержимого, связанного с кошельками или приватными ключами, и при обнаружении загружать его на сервер, контролируемый злоумышленником.
Исследование также показало, что злоумышленники могли контролировать несколько аккаунтов GitHub, чтобы копировать вредоносные проекты и повышать их доверие. Некоторые связанные проекты использовали другой вредоносный пакет bs58-encrypt-utils-1.0.3, который начал распространяться с 12 июня 2025 года.
С помощью инструментов анализа на блокчейне было установлено, что адрес злоумышленника после кражи средств перевел их на платформу криптовалютной торговли.
В целом, эта атака осуществлялась путем маскировки под легитимные Открытый исходный код проекты, что побуждало пользователей загружать и запускать программное обеспечение с вредоносным кодом. Нападающие также увеличивали популярность проекта, чтобы повысить доверие, что приводило к тому, что пользователи без опасений запускали проекты с вредоносными зависимостями, в результате чего произошла утечка приватных ключей и кража активов.
Этот метод атаки сочетает в себе социальную инженерию и технические средства, и его трудно полностью защитить даже внутри организации. Рекомендуется разработчикам и пользователям проявлять повышенную бдительность к проектам на GitHub с неизвестным источником, особенно если они связаны с операциями с кошельками или приватными ключами. Если необходимо провести отладку, лучше делать это в изолированной среде, не содержащей конфиденциальных данных.
Информация о вовлеченных проектах и вредоносных пакетах
Несколько репозиториев GitHub были обнаружены как участвующие в распространении вредоносного кода, включая, но не ограничиваясь:
Зловредный пакет NPM:
Доменное имя сервера, контролируемого атакующим: