Análise do incidente de roubo de chave privada de usuários Solana por pacotes NPM maliciosos
No início de julho de 2025, um incidente de ataque malicioso direcionado a usuários da Solana foi exposto. Os atacantes disfarçaram-se como um projeto de código aberto legítimo, induzindo os usuários a baixar e executar um projeto Node.js que continha código malicioso, roubando assim a chave privada da carteira e os ativos criptográficos dos usuários.
Decorrência do evento
No dia 2 de julho, uma vítima pediu ajuda à equipa de segurança, afirmando que, após utilizar o projeto open-source "solana-pumpfun-bot" no GitHub, os seus ativos criptográficos foram roubados. A equipa de segurança imediatamente iniciou uma investigação.
A investigação descobriu que este projeto no GitHub apresenta anomalias:
O tempo de submissão do código concentra-se há três semanas, faltando atualizações contínuas.
O projeto depende de um pacote de terceiros suspeito "crypto-layout-utils"
Este pacote de dependência foi removido oficialmente do NPM e a versão especificada não existe no histórico do NPM.
Uma análise mais aprofundada revelou que o atacante substituiu o link de download de "crypto-layout-utils" no package-lock.json pelo endereço do repositório do GitHub que controla.
Análise de código malicioso
A equipe de segurança fez o download e analisou pacotes de dependência suspeitos, descobrindo que continham código malicioso altamente ofuscado. Esse código implementou as seguintes funcionalidades:
Escanear os arquivos do computador do usuário, procurar conteúdos relacionados a carteiras ou Chave privada
Carregar as informações sensíveis descobertas para um servidor controlado pelo atacante
Métodos de ataque
Controlar várias contas do GitHub, Fork e distribuir projetos maliciosos
Aumentar o número de Forks e Stars dos projetos, elevando a credibilidade.
Substituir o link de download do pacote NPM, contornando a revisão oficial
Usar código ofuscado para aumentar a dificuldade de análise
Fluxo de fundos
Usando ferramentas de análise on-chain, descobriu-se que parte dos fundos roubados foi transferida para uma determinada plataforma de negociação de criptomoedas.
Sugestões de segurança
Tenha cuidado com projetos do GitHub de origem desconhecida, especialmente aqueles que envolvem operações de carteiras.
Executar e depurar código de terceiros em um ambiente independente e sem dados sensíveis
Verificar regularmente a segurança do sistema, atualizar o software e as medidas de proteção de forma atempada.
Este evento enfatiza novamente a importância de manter a vigilância ao lidar com ativos criptográficos. Os atacantes estão constantemente inovando em suas táticas, e tanto usuários quanto desenvolvedores precisam aumentar a conscientização sobre segurança e adotar as medidas de proteção necessárias.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
11 Curtidas
Recompensa
11
6
Compartilhar
Comentário
0/400
MEV_Whisperer
· 22h atrás
Outra vez a fazer as pessoas de parvas no GitHub
Ver originalResponder0
OldLeekConfession
· 23h atrás
sol novamente foi roubado por idiotas
Ver originalResponder0
HodlKumamon
· 08-06 08:04
Eh, eh, não fazer auditoria de código em projetos node parece tão arriscado quanto nadar nu.
Ver originalResponder0
SerumSurfer
· 08-06 08:03
Hã? Pacotes npm também não se podem confiar facilmente.
Ver originalResponder0
MiningDisasterSurvivor
· 08-06 08:02
Esta armadilha é ainda menos inteligente do que o esquema de fundos EOS de 2018. Os idiotas são realmente uma colheita atrás da outra.
Análise e prevenção do roubo de Chave privada de usuários de Solana devido a um novo ataque de pacote NPM
Análise do incidente de roubo de chave privada de usuários Solana por pacotes NPM maliciosos
No início de julho de 2025, um incidente de ataque malicioso direcionado a usuários da Solana foi exposto. Os atacantes disfarçaram-se como um projeto de código aberto legítimo, induzindo os usuários a baixar e executar um projeto Node.js que continha código malicioso, roubando assim a chave privada da carteira e os ativos criptográficos dos usuários.
Decorrência do evento
No dia 2 de julho, uma vítima pediu ajuda à equipa de segurança, afirmando que, após utilizar o projeto open-source "solana-pumpfun-bot" no GitHub, os seus ativos criptográficos foram roubados. A equipa de segurança imediatamente iniciou uma investigação.
A investigação descobriu que este projeto no GitHub apresenta anomalias:
Uma análise mais aprofundada revelou que o atacante substituiu o link de download de "crypto-layout-utils" no package-lock.json pelo endereço do repositório do GitHub que controla.
Análise de código malicioso
A equipe de segurança fez o download e analisou pacotes de dependência suspeitos, descobrindo que continham código malicioso altamente ofuscado. Esse código implementou as seguintes funcionalidades:
Métodos de ataque
Fluxo de fundos
Usando ferramentas de análise on-chain, descobriu-se que parte dos fundos roubados foi transferida para uma determinada plataforma de negociação de criptomoedas.
Sugestões de segurança
Este evento enfatiza novamente a importância de manter a vigilância ao lidar com ativos criptográficos. Os atacantes estão constantemente inovando em suas táticas, e tanto usuários quanto desenvolvedores precisam aumentar a conscientização sobre segurança e adotar as medidas de proteção necessárias.