Tài sản người dùng Solana bị đánh cắp: Mã nguồn mở ẩn chứa mã độc
Đầu tháng 7 năm 2025, một người dùng phát hiện tài sản tiền điện tử của mình bị đánh cắp sau khi sử dụng một dự án mã nguồn mở trên GitHub, và ngay lập tức đã tìm kiếm sự giúp đỡ từ đội ngũ an ninh. Qua điều tra, phát hiện đây là một sự kiện tấn công được lên kế hoạch kỹ lưỡng, liên quan đến các dự án mã nguồn mở giả mạo và các gói NPM độc hại.
Các điều tra viên đã truy cập kho GitHub của dự án xảy ra sự việc. Mặc dù dự án này có số lượng Star và Fork cao, nhưng thời gian commit mã của nó tập trung vào ba tuần trước, thiếu đi đặc điểm cập nhật liên tục, gây nghi ngờ cho các điều tra viên.
Phân tích thêm cho thấy, dự án phụ thuộc vào một gói bên thứ ba có tên là crypto-layout-utils. Gói này đã bị NPM chính thức gỡ bỏ, và phiên bản được chỉ định trong package.json không tồn tại trong lịch sử của NPM.
Các manh mối quan trọng xuất hiện trong tệp package-lock.json: kẻ tấn công đã thay thế liên kết tải xuống của crypto-layout-utils bằng một địa chỉ trên GitHub. Sau khi tải xuống và phân tích gói phụ thuộc nghi ngờ này, các điều tra viên phát hiện đây là một mã độc đã được làm rối rất cao.
Xác nhận sau khi giải mã, gói NPM này sẽ quét các tệp trên máy tính của người dùng để tìm nội dung liên quan đến ví hoặc khóa riêng, và ngay khi phát hiện sẽ tải lên máy chủ do kẻ tấn công kiểm soát.
Cuộc điều tra cũng phát hiện rằng kẻ tấn công có thể đã kiểm soát nhiều tài khoản GitHub để sao chép các dự án độc hại và nâng cao độ tin cậy của chúng. Một số dự án liên quan đã sử dụng một gói độc hại khác là bs58-encrypt-utils-1.0.3, gói này đã bắt đầu được phân phối từ ngày 12 tháng 6 năm 2025.
Thông qua công cụ phân tích trên chuỗi, phát hiện một địa chỉ kẻ tấn công sau khi đánh cắp tiền đã chuyển nó đến một nền tảng giao dịch tiền điện tử.
Tổng thể, cuộc tấn công này đã giả mạo thành một dự án mã nguồn mở hợp pháp, lừa người dùng tải xuống và chạy phần mềm chứa mã độc. Kẻ tấn công cũng đã tăng cường độ hot của dự án để tăng độ tin cậy, khiến người dùng chạy các dự án mang theo phụ thuộc độc hại mà không hề phòng bị, dẫn đến việc rò rỉ khóa riêng và tài sản bị đánh cắp.
Phương pháp tấn công này kết hợp kỹ thuật xã hội và kỹ thuật công nghệ, ngay cả trong nội bộ tổ chức cũng khó có thể phòng ngừa hoàn toàn. Khuyên các nhà phát triển và người dùng nên giữ cảnh giác cao độ đối với các dự án GitHub không rõ nguồn gốc, đặc biệt là khi liên quan đến ví hoặc thao tác khóa riêng. Nếu cần chạy thử nghiệm, tốt nhất nên thực hiện trong một môi trường độc lập và không có dữ liệu nhạy cảm.
Thông tin về dự án liên quan và gói độc hại
Nhiều kho GitHub đã được phát hiện tham gia phát tán mã độc, bao gồm nhưng không giới hạn ở:
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
20 thích
Phần thưởng
20
3
Chia sẻ
Bình luận
0/400
LightningAllInHero
· 08-01 19:43
装coin bị chơi đùa với mọi người啦 lại không nhớ bài học
Xem bản gốcTrả lời0
OffchainWinner
· 08-01 19:38
又一个新đồ ngốc诞生了
Xem bản gốcTrả lời0
CryptoFortuneTeller
· 08-01 19:36
Ai còn tin vào các dự án mã nguồn mở thì người đó xui xẻo.
Dự án Solana bị tấn công mã độc, khóa riêng của người dùng bị đánh cắp, tài sản bị mất.
Tài sản người dùng Solana bị đánh cắp: Mã nguồn mở ẩn chứa mã độc
Đầu tháng 7 năm 2025, một người dùng phát hiện tài sản tiền điện tử của mình bị đánh cắp sau khi sử dụng một dự án mã nguồn mở trên GitHub, và ngay lập tức đã tìm kiếm sự giúp đỡ từ đội ngũ an ninh. Qua điều tra, phát hiện đây là một sự kiện tấn công được lên kế hoạch kỹ lưỡng, liên quan đến các dự án mã nguồn mở giả mạo và các gói NPM độc hại.
Các điều tra viên đã truy cập kho GitHub của dự án xảy ra sự việc. Mặc dù dự án này có số lượng Star và Fork cao, nhưng thời gian commit mã của nó tập trung vào ba tuần trước, thiếu đi đặc điểm cập nhật liên tục, gây nghi ngờ cho các điều tra viên.
Phân tích thêm cho thấy, dự án phụ thuộc vào một gói bên thứ ba có tên là crypto-layout-utils. Gói này đã bị NPM chính thức gỡ bỏ, và phiên bản được chỉ định trong package.json không tồn tại trong lịch sử của NPM.
Các manh mối quan trọng xuất hiện trong tệp package-lock.json: kẻ tấn công đã thay thế liên kết tải xuống của crypto-layout-utils bằng một địa chỉ trên GitHub. Sau khi tải xuống và phân tích gói phụ thuộc nghi ngờ này, các điều tra viên phát hiện đây là một mã độc đã được làm rối rất cao.
Xác nhận sau khi giải mã, gói NPM này sẽ quét các tệp trên máy tính của người dùng để tìm nội dung liên quan đến ví hoặc khóa riêng, và ngay khi phát hiện sẽ tải lên máy chủ do kẻ tấn công kiểm soát.
Cuộc điều tra cũng phát hiện rằng kẻ tấn công có thể đã kiểm soát nhiều tài khoản GitHub để sao chép các dự án độc hại và nâng cao độ tin cậy của chúng. Một số dự án liên quan đã sử dụng một gói độc hại khác là bs58-encrypt-utils-1.0.3, gói này đã bắt đầu được phân phối từ ngày 12 tháng 6 năm 2025.
Thông qua công cụ phân tích trên chuỗi, phát hiện một địa chỉ kẻ tấn công sau khi đánh cắp tiền đã chuyển nó đến một nền tảng giao dịch tiền điện tử.
Tổng thể, cuộc tấn công này đã giả mạo thành một dự án mã nguồn mở hợp pháp, lừa người dùng tải xuống và chạy phần mềm chứa mã độc. Kẻ tấn công cũng đã tăng cường độ hot của dự án để tăng độ tin cậy, khiến người dùng chạy các dự án mang theo phụ thuộc độc hại mà không hề phòng bị, dẫn đến việc rò rỉ khóa riêng và tài sản bị đánh cắp.
Phương pháp tấn công này kết hợp kỹ thuật xã hội và kỹ thuật công nghệ, ngay cả trong nội bộ tổ chức cũng khó có thể phòng ngừa hoàn toàn. Khuyên các nhà phát triển và người dùng nên giữ cảnh giác cao độ đối với các dự án GitHub không rõ nguồn gốc, đặc biệt là khi liên quan đến ví hoặc thao tác khóa riêng. Nếu cần chạy thử nghiệm, tốt nhất nên thực hiện trong một môi trường độc lập và không có dữ liệu nhạy cảm.
Thông tin về dự án liên quan và gói độc hại
Nhiều kho GitHub đã được phát hiện tham gia phát tán mã độc, bao gồm nhưng không giới hạn ở:
Gói NPM độc hại:
Tên miền máy chủ do kẻ tấn công kiểm soát: