Phân tích sự kiện gói NPM độc hại đánh cắp khóa riêng của người dùng Solana
Vào đầu tháng 7 năm 2025, một sự kiện tấn công độc hại nhắm vào người dùng Solana đã được phơi bày. Kẻ tấn công đã giả mạo thành một dự án mã nguồn mở hợp pháp, dụ dỗ người dùng tải xuống và chạy dự án Node.js chứa mã độc, từ đó đánh cắp khóa riêng ví và tài sản tiền điện tử của người dùng.
Diễn biến sự kiện
Vào ngày 2 tháng 7, một nạn nhân đã yêu cầu sự trợ giúp từ đội ngũ an ninh, cho biết rằng tài sản tiền điện tử của mình đã bị đánh cắp sau khi sử dụng dự án mã nguồn mở "solana-pumpfun-bot" trên GitHub. Đội ngũ an ninh ngay lập tức tiến hành điều tra.
Điều tra phát hiện rằng dự án GitHub này có bất thường:
Thời gian nộp mã tập trung vào ba tuần trước, thiếu cập nhật liên tục.
Dự án phụ thuộc vào một gói bên thứ ba nghi ngờ "crypto-layout-utils"
Gói phụ thuộc này đã bị NPM chính thức gỡ bỏ, và phiên bản chỉ định không tồn tại trong lịch sử NPM.
Phân tích thêm cho thấy, kẻ tấn công đã thay thế liên kết tải xuống của "crypto-layout-utils" trong package-lock.json bằng địa chỉ kho GitHub mà chúng kiểm soát.
Phân tích mã độc
Đội ngũ an ninh đã tải xuống và phân tích các gói phụ thuộc nghi ngờ, phát hiện trong số đó có chứa mã độc được làm mờ cao. Mã này thực hiện các chức năng sau:
Quét tệp máy tính của người dùng, tìm kiếm nội dung liên quan đến ví hoặc Khóa riêng
Tải thông tin nhạy cảm đã phát hiện lên máy chủ do kẻ tấn công kiểm soát
Phương pháp tấn công
Kiểm soát nhiều tài khoản GitHub, Fork và phân phát các dự án độc hại
Tăng số lượng Fork và Star của dự án, nâng cao độ tin cậy
Thay thế liên kết tải xuống gói NPM, vượt qua kiểm tra chính thức
Sử dụng mã làm rối tăng độ khó phân tích
Dòng tiền
Sử dụng công cụ phân tích trên chuỗi để theo dõi phát hiện, một phần quỹ bị đánh cắp đã được chuyển đến một nền tảng giao dịch tiền điện tử nào đó.
Đề xuất an toàn
Hãy cẩn thận với các dự án GitHub không rõ nguồn gốc, đặc biệt là các dự án liên quan đến việc thao tác ví.
Chạy và gỡ lỗi mã bên thứ ba trong môi trường độc lập và không có dữ liệu nhạy cảm
Thường xuyên kiểm tra an ninh hệ thống, kịp thời cập nhật phần mềm và biện pháp bảo vệ
Sự kiện lần này một lần nữa nhấn mạnh tầm quan trọng của việc duy trì cảnh giác khi xử lý tài sản tiền điện tử. Các kẻ tấn công đang liên tục đổi mới phương thức, người dùng và nhà phát triển cần nâng cao nhận thức về an ninh và thực hiện các biện pháp bảo vệ cần thiết.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
11 thích
Phần thưởng
11
6
Chia sẻ
Bình luận
0/400
MEV_Whisperer
· 17giờ trước
Lại là máy cắt đồ ngốc trên GitHub
Xem bản gốcTrả lời0
OldLeekConfession
· 18giờ trước
sol lại bị đồ ngốc vắt kiệt thêm lần nữa
Xem bản gốcTrả lời0
HodlKumamon
· 08-06 08:04
Êi ya êi ya, dự án node không thực hiện kiểm toán mã giống như bơi khỏa thân, thật mạo hiểm.
Xem bản gốcTrả lời0
SerumSurfer
· 08-06 08:03
Hả? Gói npm cũng không thể tin tưởng dễ dàng đâu.
Xem bản gốcTrả lời0
MiningDisasterSurvivor
· 08-06 08:02
Chiêu này còn không bằng trò lừa đảo quỹ EOS năm 18, đồ ngốc thật sự là một đợt lại một đợt.
Phân tích và phòng ngừa sự cố bị đánh cắp khóa riêng của người dùng Solana do tấn công bằng gói NPM mới.
Phân tích sự kiện gói NPM độc hại đánh cắp khóa riêng của người dùng Solana
Vào đầu tháng 7 năm 2025, một sự kiện tấn công độc hại nhắm vào người dùng Solana đã được phơi bày. Kẻ tấn công đã giả mạo thành một dự án mã nguồn mở hợp pháp, dụ dỗ người dùng tải xuống và chạy dự án Node.js chứa mã độc, từ đó đánh cắp khóa riêng ví và tài sản tiền điện tử của người dùng.
Diễn biến sự kiện
Vào ngày 2 tháng 7, một nạn nhân đã yêu cầu sự trợ giúp từ đội ngũ an ninh, cho biết rằng tài sản tiền điện tử của mình đã bị đánh cắp sau khi sử dụng dự án mã nguồn mở "solana-pumpfun-bot" trên GitHub. Đội ngũ an ninh ngay lập tức tiến hành điều tra.
Điều tra phát hiện rằng dự án GitHub này có bất thường:
Phân tích thêm cho thấy, kẻ tấn công đã thay thế liên kết tải xuống của "crypto-layout-utils" trong package-lock.json bằng địa chỉ kho GitHub mà chúng kiểm soát.
Phân tích mã độc
Đội ngũ an ninh đã tải xuống và phân tích các gói phụ thuộc nghi ngờ, phát hiện trong số đó có chứa mã độc được làm mờ cao. Mã này thực hiện các chức năng sau:
Phương pháp tấn công
Dòng tiền
Sử dụng công cụ phân tích trên chuỗi để theo dõi phát hiện, một phần quỹ bị đánh cắp đã được chuyển đến một nền tảng giao dịch tiền điện tử nào đó.
Đề xuất an toàn
Sự kiện lần này một lần nữa nhấn mạnh tầm quan trọng của việc duy trì cảnh giác khi xử lý tài sản tiền điện tử. Các kẻ tấn công đang liên tục đổi mới phương thức, người dùng và nhà phát triển cần nâng cao nhận thức về an ninh và thực hiện các biện pháp bảo vệ cần thiết.