Анализ события кражи закрытых ключей пользователей Solana с помощью вредоносных NPM пакетов
В начале июля 2025 года было раскрыто злонамеренное нападение на пользователей Solana. Злоумышленники, маскируясь под легитимные открытые проекты, заставляли пользователей загружать и запускать Node.js проекты, содержащие вредоносный код, с целью кражи закрытых ключей кошелька и криптоактивов пользователей.
Ход события
2 июля жертва обратилась за помощью к команде безопасности, сообщив, что после использования открытого проекта на GitHub "solana-pumpfun-bot" ее криптоактивы были украдены. Команда безопасности немедленно начала расследование.
Исследование показало, что в этом проекте GitHub есть аномалии:
Время подачи кода сосредоточено на три недели назад, недостаток постоянного обновления
Проект зависел от подозрительной сторонней библиотеки "crypto-layout-utils"
Этот пакет зависимости был удален официальным NPM, и указанная версия отсутствует в истории NPM.
Дальнейший анализ показал, что злоумышленник заменил ссылку для скачивания "crypto-layout-utils" в package-lock.json на адрес репозитория GitHub, которым он управляет.
Анализ вредоносного кода
Команда безопасности загрузила и проанализировала подозрительные пакеты зависимостей и обнаружила, что они содержат сильно запутанный вредоносный код. Этот код реализует следующие функции:
Сканируйте файлы компьютера пользователя, ищите содержимое, связанное с кошельком или Закрытым ключом.
Загрузите обнаруженную конфиденциальную информацию на сервер, контролируемый злоумышленником.
Способы атаки
Управление несколькими аккаунтами GitHub, форкать и распространять вредоносные проекты
Увеличьте количество Fork и Star высоко оцененных проектов, чтобы повысить доверие.
Заменить ссылки для загрузки пакетов NPM, чтобы обойти официальную проверку
Использование обфусцированного кода увеличивает сложность анализа
Направление потоков средств
Используя инструменты анализа блокчейна, было установлено, что часть украденных средств была переведена на одну из криптовалютных бирж.
Рекомендации по безопасности
Будьте осторожны с проектами на GitHub, источники которых неизвестны, особенно с проектами, связанными с операциями с кошельками.
Запуск и отладка стороннего кода в независимой среде без конфиденциальных данных
Регулярно проверяйте безопасность системы и своевременно обновляйте программное обеспечение и защитные меры
Это событие еще раз подчеркивает важность сохранения бдительности при обращении с криптоактивами. Нападающие постоянно разрабатывают новые методы, и пользователи, а также разработчики должны повысить свою безопасность и принять необходимые меры защиты.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
11 Лайков
Награда
11
6
Поделиться
комментарий
0/400
MEV_Whisperer
· 9ч назад
Опять сборщик неудачников на GitHub
Посмотреть ОригиналОтветить0
OldLeekConfession
· 10ч назад
sol снова снова снова был обманут неудачниками
Посмотреть ОригиналОтветить0
HodlKumamon
· 08-06 08:04
Эй-ая, эй-ая, проекты Node без аудита кода, кажется, как плавание голышом, это так рискованно.
Посмотреть ОригиналОтветить0
SerumSurfer
· 08-06 08:03
Ха? Пакеты npm тоже нельзя легко доверять!
Посмотреть ОригиналОтветить0
MiningDisasterSurvivor
· 08-06 08:02
Эта ловушка не так умна, как схема с финансированием EOS в 2018 году. Неудачники действительно идут один за другим.
Посмотреть ОригиналОтветить0
RugPullAlertBot
· 08-06 07:57
Ещё одна группа новичков была упакована и увезена.
Анализ и предотвращение инцидента кражи закрытого ключа пользователей Solana в результате новой атаки пакета NPM.
Анализ события кражи закрытых ключей пользователей Solana с помощью вредоносных NPM пакетов
В начале июля 2025 года было раскрыто злонамеренное нападение на пользователей Solana. Злоумышленники, маскируясь под легитимные открытые проекты, заставляли пользователей загружать и запускать Node.js проекты, содержащие вредоносный код, с целью кражи закрытых ключей кошелька и криптоактивов пользователей.
Ход события
2 июля жертва обратилась за помощью к команде безопасности, сообщив, что после использования открытого проекта на GitHub "solana-pumpfun-bot" ее криптоактивы были украдены. Команда безопасности немедленно начала расследование.
Исследование показало, что в этом проекте GitHub есть аномалии:
Дальнейший анализ показал, что злоумышленник заменил ссылку для скачивания "crypto-layout-utils" в package-lock.json на адрес репозитория GitHub, которым он управляет.
Анализ вредоносного кода
Команда безопасности загрузила и проанализировала подозрительные пакеты зависимостей и обнаружила, что они содержат сильно запутанный вредоносный код. Этот код реализует следующие функции:
Способы атаки
Направление потоков средств
Используя инструменты анализа блокчейна, было установлено, что часть украденных средств была переведена на одну из криптовалютных бирж.
Рекомендации по безопасности
Это событие еще раз подчеркивает важность сохранения бдительности при обращении с криптоактивами. Нападающие постоянно разрабатывают новые методы, и пользователи, а также разработчики должны повысить свою безопасность и принять необходимые меры защиты.