Аналіз події крадіжки закритих ключів користувачів Solana через шкідливі пакети NPM
На початку липня 2025 року було виявлено випадок зловмисної атаки на користувачів Solana. Зловмисники, маскуючись під легітимні проєкти з відкритим кодом, спонукали користувачів завантажувати та запускати Node.js проєкти, що містять шкідливий код, з метою викрадення приватних ключів гаманців користувачів та криптоактивів.
Хід подій
2 липня жертва звернулася до команди безпеки, стверджуючи, що після використання відкритого проєкту на GitHub "solana-pumpfun-bot" її криптоактиви були вкрадені. Команда безпеки негайно розпочала розслідування.
Дослідження виявило, що в цьому проекті GitHub є аномалія:
Час подачі коду зосереджений на три тижні тому, відсутні постійні оновлення
Проект залежить від підозрілого стороннього пакету "crypto-layout-utils"
Цей пакет залежностей був знятий з NPM офіційно, і вказана версія не існує в історії NPM.
Додатковий аналіз показав, що зловмисники замінили посилання для завантаження "crypto-layout-utils" в package-lock.json на адресу репозиторію GitHub, яким вони керують.
Аналіз шкідливого коду
Команда з безпеки завантажила та проаналізувала підозрілі пакети залежностей і виявила, що вони містять сильно заплутаний шкідливий код. Цей код реалізує такі функції:
Проскануйте файли користувача на комп'ютері, щоб знайти вміст, пов'язаний з гаманцем або Закритим ключем.
Завантажте виявлену чутливу інформацію на сервер, контрольований зловмисником
Методи атаки
Контролювати кілька облікових записів GitHub, Fork та розповсюджувати шкідливі проекти
Підвищити кількість Fork і Star високих проектів, підвищити довіру
Замінити посилання для завантаження пакунків NPM, обійти офіційний аудит
Використання обфускуючого коду для ускладнення аналізу
Напрямок грошових потоків
Використовуючи інструменти аналізу блокчейну, виявлено, що частина вкрадених коштів була переведена на певну криптовалютну біржу.
Рекомендації з безпеки
Обережно ставтеся до проектів GitHub з невідомими джерелами, особливо до проектів, що стосуються операцій з гаманцями.
Запустіть і налагодьте сторонній код у незалежному середовищі без чутливих даних
Регулярно перевіряйте безпеку системи, вчасно оновлюйте програмне забезпечення та заходи захисту
Ця подія ще раз підкреслила важливість збереження пильності при обробці криптоактивів. Зловмисники постійно вдосконалюють свої методи, тому користувачі та розробники повинні підвищити свою обізнаність про безпеку та вжити необхідних заходів захисту.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
11 лайків
Нагородити
11
6
Поділіться
Прокоментувати
0/400
MEV_Whisperer
· 12год тому
Знову мова йде про обдурювання невдах на GitHub
Переглянути оригіналвідповісти на0
OldLeekConfession
· 12год тому
sol знову-знову-знову був обірваний невдахи
Переглянути оригіналвідповісти на0
HodlKumamon
· 08-06 08:04
Ей-я, ей-я, проекти node, які не проходять аудит коду, виглядають для ведмедя так, ніби вони плавають без одягу — це справжній ризик.
Переглянути оригіналвідповісти на0
SerumSurfer
· 08-06 08:03
Га? npm пакети також не можна легко довіряти!
Переглянути оригіналвідповісти на0
MiningDisasterSurvivor
· 08-06 08:02
Ця пастка навіть не така розумна, як фінансова піраміда EOS 2018 року. Невдахи справді приходять один за одним.
Переглянути оригіналвідповісти на0
RugPullAlertBot
· 08-06 07:57
Ще одна партія новачків була упакована і відвезена.
Аналіз та запобігання новому типу атаки на пакети NPM, що призвела до крадіжки Закритих ключів у користувачів Solana
Аналіз події крадіжки закритих ключів користувачів Solana через шкідливі пакети NPM
На початку липня 2025 року було виявлено випадок зловмисної атаки на користувачів Solana. Зловмисники, маскуючись під легітимні проєкти з відкритим кодом, спонукали користувачів завантажувати та запускати Node.js проєкти, що містять шкідливий код, з метою викрадення приватних ключів гаманців користувачів та криптоактивів.
Хід подій
2 липня жертва звернулася до команди безпеки, стверджуючи, що після використання відкритого проєкту на GitHub "solana-pumpfun-bot" її криптоактиви були вкрадені. Команда безпеки негайно розпочала розслідування.
Дослідження виявило, що в цьому проекті GitHub є аномалія:
Додатковий аналіз показав, що зловмисники замінили посилання для завантаження "crypto-layout-utils" в package-lock.json на адресу репозиторію GitHub, яким вони керують.
Аналіз шкідливого коду
Команда з безпеки завантажила та проаналізувала підозрілі пакети залежностей і виявила, що вони містять сильно заплутаний шкідливий код. Цей код реалізує такі функції:
Методи атаки
Напрямок грошових потоків
Використовуючи інструменти аналізу блокчейну, виявлено, що частина вкрадених коштів була переведена на певну криптовалютну біржу.
Рекомендації з безпеки
Ця подія ще раз підкреслила важливість збереження пильності при обробці криптоактивів. Зловмисники постійно вдосконалюють свої методи, тому користувачі та розробники повинні підвищити свою обізнаність про безпеку та вжити необхідних заходів захисту.