Phân tích sự kiện tài sản của người dùng Solana bị đánh cắp do gói NPM độc hại đánh cắp khóa riêng
Vào đầu tháng 7 năm 2025, một vụ trộm tài sản nhắm vào người dùng Solana đã thu hút sự chú ý của đội ngũ an ninh. Một nạn nhân đã phát hiện ra tài sản tiền điện tử của mình bị đánh cắp sau khi sử dụng một dự án mã nguồn mở được lưu trữ trên GitHub. Qua cuộc điều tra sâu, đội ngũ an ninh đã tiết lộ một chuỗi tấn công được thiết kế tinh vi.
Kẻ tấn công đã ngụy trang thành một dự án mã nguồn mở hợp pháp, dụ dỗ người dùng tải về và chạy một dự án Node.js chứa mã độc. Dự án có tên "solana-pumpfun-bot" này bề ngoài trông rất phổ biến, với số lượng Star và Fork cao. Tuy nhiên, lịch sử gửi mã của nó cho thấy những mẫu bất thường, thiếu đặc điểm cập nhật liên tục.
Phân tích sâu hơn cho thấy, dự án phụ thuộc vào một gói bên thứ ba nghi vấn có tên "crypto-layout-utils". Gói này đã bị NPM chính thức gỡ bỏ, nhưng kẻ tấn công đã thay đổi tệp package-lock.json, thay thế liên kết tải xuống bằng địa chỉ kho GitHub mà hắn kiểm soát, tiếp tục phân phối mã độc.
Sau khi phân tích gói độc hại bị làm mờ này, đội ngũ an ninh xác nhận chức năng của nó là quét các tệp nhạy cảm trên máy tính của người dùng, đặc biệt là các nội dung liên quan đến ví tiền điện tử và Khóa riêng. Khi phát hiện tệp mục tiêu, nó sẽ được tải lên máy chủ do kẻ tấn công kiểm soát.
Kẻ tấn công cũng đã áp dụng chiến lược hợp tác nhiều tài khoản, thông qua việc thực hiện nhiều thao tác Fork và Star để nâng cao độ tin cậy của dự án, mở rộng phạm vi nạn nhân. Ngoài "crypto-layout-utils", còn phát hiện ra một gói độc hại khác có tên "bs58-encrypt-utils" tham gia vào cuộc tấn công này.
Sử dụng công cụ phân tích chuỗi để theo dõi dòng tiền bị đánh cắp, phát hiện một phần tiền đã được chuyển đến một sàn giao dịch nào đó.
Sự kiện này đã làm nổi bật những thách thức về an ninh mà cộng đồng mã nguồn mở đang phải đối mặt. Kẻ tấn công đã lợi dụng lòng tin của người dùng đối với các dự án trên GitHub, kết hợp giữa kỹ thuật xã hội và các phương pháp kỹ thuật để thực hiện một cuộc tấn công phức tạp. Đối với các nhà phát triển và người dùng, việc giữ cảnh giác cao độ là rất quan trọng khi xử lý các dự án liên quan đến tài sản tiền điện tử. Khuyến nghị thử nghiệm mã từ nguồn không xác định trong môi trường cách ly và luôn chú ý đến độ xác thực và độ tin cậy của dự án.
Sự kiện này liên quan đến nhiều kho GitHub và gói NPM độc hại, đội ngũ an ninh đã liệt kê các thông tin liên quan để cộng đồng tham khảo và phòng ngừa. Phương thức tấn công này có tính ẩn giấu và lừa đảo rất cao, nhắc nhở chúng ta cần thận trọng hơn khi khám phá các dự án mới, đặc biệt là khi liên quan đến các thao tác nhạy cảm.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Gói NPM độc hại đánh cắp khóa riêng Solana, dự án mã nguồn mở ẩn chứa đá ngầm
Phân tích sự kiện tài sản của người dùng Solana bị đánh cắp do gói NPM độc hại đánh cắp khóa riêng
Vào đầu tháng 7 năm 2025, một vụ trộm tài sản nhắm vào người dùng Solana đã thu hút sự chú ý của đội ngũ an ninh. Một nạn nhân đã phát hiện ra tài sản tiền điện tử của mình bị đánh cắp sau khi sử dụng một dự án mã nguồn mở được lưu trữ trên GitHub. Qua cuộc điều tra sâu, đội ngũ an ninh đã tiết lộ một chuỗi tấn công được thiết kế tinh vi.
Kẻ tấn công đã ngụy trang thành một dự án mã nguồn mở hợp pháp, dụ dỗ người dùng tải về và chạy một dự án Node.js chứa mã độc. Dự án có tên "solana-pumpfun-bot" này bề ngoài trông rất phổ biến, với số lượng Star và Fork cao. Tuy nhiên, lịch sử gửi mã của nó cho thấy những mẫu bất thường, thiếu đặc điểm cập nhật liên tục.
Phân tích sâu hơn cho thấy, dự án phụ thuộc vào một gói bên thứ ba nghi vấn có tên "crypto-layout-utils". Gói này đã bị NPM chính thức gỡ bỏ, nhưng kẻ tấn công đã thay đổi tệp package-lock.json, thay thế liên kết tải xuống bằng địa chỉ kho GitHub mà hắn kiểm soát, tiếp tục phân phối mã độc.
Sau khi phân tích gói độc hại bị làm mờ này, đội ngũ an ninh xác nhận chức năng của nó là quét các tệp nhạy cảm trên máy tính của người dùng, đặc biệt là các nội dung liên quan đến ví tiền điện tử và Khóa riêng. Khi phát hiện tệp mục tiêu, nó sẽ được tải lên máy chủ do kẻ tấn công kiểm soát.
Kẻ tấn công cũng đã áp dụng chiến lược hợp tác nhiều tài khoản, thông qua việc thực hiện nhiều thao tác Fork và Star để nâng cao độ tin cậy của dự án, mở rộng phạm vi nạn nhân. Ngoài "crypto-layout-utils", còn phát hiện ra một gói độc hại khác có tên "bs58-encrypt-utils" tham gia vào cuộc tấn công này.
Sử dụng công cụ phân tích chuỗi để theo dõi dòng tiền bị đánh cắp, phát hiện một phần tiền đã được chuyển đến một sàn giao dịch nào đó.
Sự kiện này đã làm nổi bật những thách thức về an ninh mà cộng đồng mã nguồn mở đang phải đối mặt. Kẻ tấn công đã lợi dụng lòng tin của người dùng đối với các dự án trên GitHub, kết hợp giữa kỹ thuật xã hội và các phương pháp kỹ thuật để thực hiện một cuộc tấn công phức tạp. Đối với các nhà phát triển và người dùng, việc giữ cảnh giác cao độ là rất quan trọng khi xử lý các dự án liên quan đến tài sản tiền điện tử. Khuyến nghị thử nghiệm mã từ nguồn không xác định trong môi trường cách ly và luôn chú ý đến độ xác thực và độ tin cậy của dự án.
Sự kiện này liên quan đến nhiều kho GitHub và gói NPM độc hại, đội ngũ an ninh đã liệt kê các thông tin liên quan để cộng đồng tham khảo và phòng ngừa. Phương thức tấn công này có tính ẩn giấu và lừa đảo rất cao, nhắc nhở chúng ta cần thận trọng hơn khi khám phá các dự án mới, đặc biệt là khi liên quan đến các thao tác nhạy cảm.