Análisis del evento de robo de llaves privadas de usuarios de Solana por paquetes NPM maliciosos
A principios de julio de 2025, se expuso un incidente de ataque malicioso dirigido a usuarios de Solana. Los atacantes se disfrazaron de proyectos de código abierto legítimos, induciendo a los usuarios a descargar y ejecutar proyectos de Node.js que contenían código malicioso, robando así las llaves privadas de las billeteras de los usuarios y sus activos criptográficos.
Desarrollo del evento
El 2 de julio, una víctima solicitó ayuda al equipo de seguridad, afirmando que sus activos criptográficos fueron robados tras utilizar el proyecto de código abierto "solana-pumpfun-bot" en GitHub. El equipo de seguridad inició de inmediato una investigación.
La investigación encontró anomalías en este proyecto de GitHub:
El tiempo de envío del código se concentró hace tres semanas, careciendo de actualizaciones continuas.
El proyecto depende de un paquete de terceros sospechoso "crypto-layout-utils"
Este paquete de dependencia ha sido eliminado oficialmente por NPM y la versión especificada no existe en el historial de NPM.
Un análisis más profundo revela que el atacante reemplazó el enlace de descarga de "crypto-layout-utils" en package-lock.json con la dirección de un repositorio de GitHub que controla.
Análisis de código malicioso
El equipo de seguridad descargó y analizó paquetes de dependencia sospechosos, y encontró que contenían código malicioso altamente ofuscado. Este código implementó las siguientes funciones:
Escanear los archivos de la computadora del usuario, buscar contenido relacionado con la billetera o la Llave privada
Subir la información sensible descubierta a un servidor controlado por el atacante
Métodos de ataque
Controlar múltiples cuentas de GitHub, hacer Fork y distribuir proyectos maliciosos
Aumentar la cantidad de Forks y Stars del proyecto para mejorar su credibilidad.
Reemplazar el enlace de descarga del paquete NPM para eludir la revisión oficial
Usar código ofuscado para aumentar la dificultad de análisis
Flujo de fondos
Se ha descubierto mediante herramientas de análisis en la cadena que parte de los fondos robados han sido transferidos a una plataforma de intercambio de criptomonedas.
Consejos de seguridad
Trate con precaución los proyectos de GitHub de origen desconocido, especialmente aquellos que involucran operaciones de billetera.
Ejecutar y depurar código de terceros en un entorno independiente y sin datos sensibles
Revisar periódicamente la seguridad del sistema y actualizar el software y las medidas de protección de manera oportuna.
Este evento destaca una vez más la importancia de mantener la vigilancia al tratar con activos criptográficos. Los atacantes continúan innovando en sus métodos, y tanto los usuarios como los desarrolladores deben aumentar su conciencia de seguridad y tomar las medidas de protección necesarias.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
9 me gusta
Recompensa
9
4
Compartir
Comentar
0/400
HodlKumamon
· hace8h
Ay ay, los proyectos de node que no hacen auditorías de código son tan arriesgados como nadar desnudo.
Ver originalesResponder0
SerumSurfer
· hace8h
¿Eh? No se puede confiar fácilmente en los paquetes de npm.
Ver originalesResponder0
MiningDisasterSurvivor
· hace8h
Esta trampa no es más astuta que el esquema de fondos de EOS de 2018. Los tontos realmente son una cosecha tras otra.
Análisis y prevención del ataque de nuevo tipo de paquete NPM que sufrieron los usuarios de Solana y el robo de llaves privadas.
Análisis del evento de robo de llaves privadas de usuarios de Solana por paquetes NPM maliciosos
A principios de julio de 2025, se expuso un incidente de ataque malicioso dirigido a usuarios de Solana. Los atacantes se disfrazaron de proyectos de código abierto legítimos, induciendo a los usuarios a descargar y ejecutar proyectos de Node.js que contenían código malicioso, robando así las llaves privadas de las billeteras de los usuarios y sus activos criptográficos.
Desarrollo del evento
El 2 de julio, una víctima solicitó ayuda al equipo de seguridad, afirmando que sus activos criptográficos fueron robados tras utilizar el proyecto de código abierto "solana-pumpfun-bot" en GitHub. El equipo de seguridad inició de inmediato una investigación.
La investigación encontró anomalías en este proyecto de GitHub:
Un análisis más profundo revela que el atacante reemplazó el enlace de descarga de "crypto-layout-utils" en package-lock.json con la dirección de un repositorio de GitHub que controla.
Análisis de código malicioso
El equipo de seguridad descargó y analizó paquetes de dependencia sospechosos, y encontró que contenían código malicioso altamente ofuscado. Este código implementó las siguientes funciones:
Métodos de ataque
Flujo de fondos
Se ha descubierto mediante herramientas de análisis en la cadena que parte de los fondos robados han sido transferidos a una plataforma de intercambio de criptomonedas.
Consejos de seguridad
Este evento destaca una vez más la importancia de mantener la vigilancia al tratar con activos criptográficos. Los atacantes continúan innovando en sus métodos, y tanto los usuarios como los desarrolladores deben aumentar su conciencia de seguridad y tomar las medidas de protección necesarias.