Аналіз та запобігання новому типу атаки на пакети NPM, що призвела до крадіжки Закритих ключів у користувачів Solana

robot
Генерація анотацій у процесі

Аналіз події крадіжки закритих ключів користувачів Solana через шкідливі пакети NPM

На початку липня 2025 року було виявлено випадок зловмисної атаки на користувачів Solana. Зловмисники, маскуючись під легітимні проєкти з відкритим кодом, спонукали користувачів завантажувати та запускати Node.js проєкти, що містять шкідливий код, з метою викрадення приватних ключів гаманців користувачів та криптоактивів.

Зловмисний NPM пакет краде закритий ключ, активи користувачів Solana під загрозою

Хід подій

2 липня жертва звернулася до команди безпеки, стверджуючи, що після використання відкритого проєкту на GitHub "solana-pumpfun-bot" її криптоактиви були вкрадені. Команда безпеки негайно розпочала розслідування.

Дослідження виявило, що в цьому проекті GitHub є аномалія:

  1. Час подачі коду зосереджений на три тижні тому, відсутні постійні оновлення
  2. Проект залежить від підозрілого стороннього пакету "crypto-layout-utils"
  3. Цей пакет залежностей був знятий з NPM офіційно, і вказана версія не існує в історії NPM.

Зловмисний NPM пакет викрав Закритий ключ, активи користувачів Solana були вкрадені

Додатковий аналіз показав, що зловмисники замінили посилання для завантаження "crypto-layout-utils" в package-lock.json на адресу репозиторію GitHub, яким вони керують.

Зловмисний NPM пакет краде закриті ключі, активи користувачів Solana постраждали

Аналіз шкідливого коду

Команда з безпеки завантажила та проаналізувала підозрілі пакети залежностей і виявила, що вони містять сильно заплутаний шкідливий код. Цей код реалізує такі функції:

  1. Проскануйте файли користувача на комп'ютері, щоб знайти вміст, пов'язаний з гаманцем або Закритим ключем.
  2. Завантажте виявлену чутливу інформацію на сервер, контрольований зловмисником

Зловмисний NPM пакет краде закритий ключ, активи користувачів Solana під загрозою

Зловмисний NPM пакет викрав Закритий ключ, активи користувачів Solana були вкрадені

Методи атаки

  1. Контролювати кілька облікових записів GitHub, Fork та розповсюджувати шкідливі проекти
  2. Підвищити кількість Fork і Star високих проектів, підвищити довіру
  3. Замінити посилання для завантаження пакунків NPM, обійти офіційний аудит
  4. Використання обфускуючого коду для ускладнення аналізу

Зловмисний NPM пакет викрав Закритий ключ, активи користувачів Solana були вкрадені

Зловмисний NPM пакет викрав Закритий ключ, активи користувачів Solana були вкрадені

Зловмисний пакет NPM краде закритий ключ, активи користувачів Solana під загрозою

Напрямок грошових потоків

Використовуючи інструменти аналізу блокчейну, виявлено, що частина вкрадених коштів була переведена на певну криптовалютну біржу.

Зловмисний NPM пакет краде закритий ключ, активи користувачів Solana під загрозою

Зловмисний NPM пакет краде закритий ключ, активи користувачів Solana зазнали крадіжки

Рекомендації з безпеки

  1. Обережно ставтеся до проектів GitHub з невідомими джерелами, особливо до проектів, що стосуються операцій з гаманцями.
  2. Запустіть і налагодьте сторонній код у незалежному середовищі без чутливих даних
  3. Регулярно перевіряйте безпеку системи, вчасно оновлюйте програмне забезпечення та заходи захисту

Ця подія ще раз підкреслила важливість збереження пильності при обробці криптоактивів. Зловмисники постійно вдосконалюють свої методи, тому користувачі та розробники повинні підвищити свою обізнаність про безпеку та вжити необхідних заходів захисту.

Зловмисний NPM пакет вкраде Закритий ключ, активи користувачів Solana зазнали крадіжки

SOL2.2%
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
  • Нагородити
  • 4
  • Поділіться
Прокоментувати
0/400
HodlKumamonvip
· 9год тому
Ей-я, ей-я, проекти node, які не проходять аудит коду, виглядають для ведмедя так, ніби вони плавають без одягу — це справжній ризик.
Переглянути оригіналвідповісти на0
SerumSurfervip
· 9год тому
Га? npm пакети також не можна легко довіряти!
Переглянути оригіналвідповісти на0
MiningDisasterSurvivorvip
· 9год тому
Ця пастка навіть не така розумна, як фінансова піраміда EOS 2018 року. Невдахи справді приходять один за одним.
Переглянути оригіналвідповісти на0
RugPullAlertBotvip
· 9год тому
Ще одна партія новачків була упакована і відвезена.
Переглянути оригіналвідповісти на0
  • Закріпити