Analyse de l'événement de vol de clé privée des utilisateurs de Solana par des paquets NPM malveillants
Début juillet 2025, un incident d'attaque malveillante ciblant les utilisateurs de Solana a été révélé. Les attaquants se sont déguisés en projets open source légitimes, incitant les utilisateurs à télécharger et à exécuter des projets Node.js contenant du code malveillant, afin de voler les clés privées des portefeuilles des utilisateurs et leurs actifs cryptographiques.
Développement de l'événement
Le 2 juillet, une victime a demandé de l'aide à l'équipe de sécurité, affirmant que ses actifs cryptographiques avaient été volés après avoir utilisé le projet open source "solana-pumpfun-bot" sur GitHub. L'équipe de sécurité a immédiatement lancé une enquête.
Une enquête a révélé qu'il y a une anomalie dans ce projet GitHub :
La date de soumission du code est concentrée il y a trois semaines, manquant de mises à jour continues.
Le projet dépend d'un paquet tiers suspect "crypto-layout-utils"
Ce paquet de dépendance a été retiré par l'équipe NPM officielle et la version spécifiée n'existe pas dans l'historique NPM.
Une analyse plus approfondie a révélé que l'attaquant avait remplacé le lien de téléchargement de "crypto-layout-utils" dans package-lock.json par l'adresse de son propre dépôt GitHub.
Analyse de code malveillant
L'équipe de sécurité a téléchargé et analysé des packages de dépendance suspects, découvrant qu'ils contenaient un code malveillant hautement obfusqué. Ce code réalise les fonctions suivantes :
Scanner les fichiers de l'ordinateur de l'utilisateur, rechercher des contenus liés aux portefeuilles ou à la Clé privée.
Télécharger les informations sensibles découvertes sur un serveur contrôlé par l'attaquant.
Méthodes d'attaque
Contrôler plusieurs comptes GitHub, Forker et distribuer des projets malveillants
Augmenter le nombre de Fork et de Star des projets pour améliorer la crédibilité.
Remplacer le lien de téléchargement du package NPM, contourner l'examen officiel
Utiliser du code obfusqué pour augmenter la difficulté d'analyse
Flux de fonds
L'utilisation d'outils d'analyse en chaîne a révélé que des fonds volés avaient été transférés vers une plateforme d'échange de cryptomonnaies.
Conseils de sécurité
Soyez prudent avec les projets GitHub d'origine inconnue, en particulier ceux impliquant des opérations de portefeuille.
Exécuter et déboguer du code tiers dans un environnement indépendant et sans données sensibles.
Vérifiez régulièrement la sécurité du système et mettez à jour les logiciels et les mesures de protection en temps voulu.
Cet incident souligne à nouveau l'importance de rester vigilant lors de la gestion des actifs cryptographiques. Les attaquants continuent d'innover dans leurs méthodes, et les utilisateurs ainsi que les développeurs doivent renforcer leur sensibilisation à la sécurité et adopter les mesures de protection nécessaires.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
11 J'aime
Récompense
11
6
Partager
Commentaire
0/400
MEV_Whisperer
· Il y a 13h
Encore une fois, le machine à prendre les gens pour des idiots sur GitHub
Voir l'originalRépondre0
OldLeekConfession
· Il y a 14h
sol a encore été tondu par des pigeons
Voir l'originalRépondre0
HodlKumamon
· 08-06 08:04
Eh bien, eh bien, un projet node sans audit de code, c'est comme nager nu, n'est-ce pas ?
Voir l'originalRépondre0
SerumSurfer
· 08-06 08:03
Hein ? On ne peut pas faire confiance aux paquets npm si facilement.
Voir l'originalRépondre0
MiningDisasterSurvivor
· 08-06 08:02
Cette piége est même moins astucieuse que le fonds EOS de 2018. Les pigeons arrivent vraiment les uns après les autres.
Analyse et prévention des attaques de nouveaux paquets NPM sur les utilisateurs de Solana et des incidents de vol de clé privée.
Analyse de l'événement de vol de clé privée des utilisateurs de Solana par des paquets NPM malveillants
Début juillet 2025, un incident d'attaque malveillante ciblant les utilisateurs de Solana a été révélé. Les attaquants se sont déguisés en projets open source légitimes, incitant les utilisateurs à télécharger et à exécuter des projets Node.js contenant du code malveillant, afin de voler les clés privées des portefeuilles des utilisateurs et leurs actifs cryptographiques.
Développement de l'événement
Le 2 juillet, une victime a demandé de l'aide à l'équipe de sécurité, affirmant que ses actifs cryptographiques avaient été volés après avoir utilisé le projet open source "solana-pumpfun-bot" sur GitHub. L'équipe de sécurité a immédiatement lancé une enquête.
Une enquête a révélé qu'il y a une anomalie dans ce projet GitHub :
Une analyse plus approfondie a révélé que l'attaquant avait remplacé le lien de téléchargement de "crypto-layout-utils" dans package-lock.json par l'adresse de son propre dépôt GitHub.
Analyse de code malveillant
L'équipe de sécurité a téléchargé et analysé des packages de dépendance suspects, découvrant qu'ils contenaient un code malveillant hautement obfusqué. Ce code réalise les fonctions suivantes :
Méthodes d'attaque
Flux de fonds
L'utilisation d'outils d'analyse en chaîne a révélé que des fonds volés avaient été transférés vers une plateforme d'échange de cryptomonnaies.
Conseils de sécurité
Cet incident souligne à nouveau l'importance de rester vigilant lors de la gestion des actifs cryptographiques. Les attaquants continuent d'innover dans leurs méthodes, et les utilisateurs ainsi que les développeurs doivent renforcer leur sensibilisation à la sécurité et adopter les mesures de protection nécessaires.