Análisis del incidente de robo de activos de usuarios de Solana: paquetes NPM maliciosos roban Llave privada
A principios de julio de 2025, un usuario solicitó ayuda al equipo de seguridad, afirmando que sus activos criptográficos fueron robados tras utilizar un proyecto de código abierto en GitHub llamado solana-pumpfun-bot. Tras una investigación, este incidente reveló una cadena de ataque cuidadosamente planificada, que involucraba paquetes NPM maliciosos, proyectos de GitHub disfrazados y técnicas de ingeniería social.
Investigación de eventos
El equipo de seguridad accedió al repositorio de GitHub involucrado y descubrió que, aunque el proyecto tenía un número relativamente alto de estrellas y bifurcaciones, las actualizaciones de código eran anormalmente concentradas, careciendo de características de mantenimiento continuo. Un análisis adicional mostró que el proyecto dependía de un paquete de terceros sospechoso llamado crypto-layout-utils, el cual ha sido retirado por NPM.
A través de la revisión del archivo package-lock.json, los investigadores descubrieron que los atacantes habían sustituido el enlace de descarga de crypto-layout-utils por una dirección de release de GitHub. Después de descargar y analizar este paquete de dependencia altamente ofuscado, se confirmó que contenía código malicioso, con la capacidad de escanear los archivos de la computadora del usuario y subir información sensible.
Métodos de ataque
Los atacantes supuestamente controlan varias cuentas de GitHub para distribuir proyectos maliciosos y aumentar su credibilidad. Elevan la popularidad del proyecto mediante operaciones de Fork y Star, atrayendo la atención y el uso de más usuarios. Además de crypto-layout-utils, se descubrió otro paquete malicioso llamado bs58-encrypt-utils que participa en el ataque.
Utilizando herramientas de análisis en la cadena, se descubrió que los fondos robados finalmente fluyeron hacia una plataforma de intercambio.
Resumen y recomendaciones
Este ataque combinó hábilmente técnicas técnicas y estrategias de ingeniería social. Los atacantes disfrazaron proyectos de código abierto legítimos para engañar a los usuarios y hacer que descargaran y ejecutaran programas de Node.js que contenían dependencias maliciosas, robando así las llaves privadas de las billeteras y los activos.
Para prevenir ataques similares, se sugiere a los desarrolladores y usuarios:
Mantener una alta vigilancia sobre los proyectos de GitHub de origen desconocido, especialmente aquellos que involucran operaciones de billetera o Llave privada.
Ejecutar y depurar código desconocido en un entorno independiente y sin datos sensibles.
Revisar periódicamente las dependencias del proyecto para asegurarse de utilizar paquetes certificados oficialmente.
Presta atención a la historia de actualizaciones del proyecto y a los comentarios de la comunidad, ten cuidado con los proyectos que de repente se vuelven populares pero carecen de mantenimiento a largo plazo.
Este evento nos recuerda una vez más que la conciencia de seguridad y una actitud cautelosa son fundamentales en un ecosistema abierto y de código abierto.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
16 me gusta
Recompensa
16
5
Compartir
Comentar
0/400
DYORMaster
· 07-21 23:59
Otra trampa de proyecto ha sido robada.
Ver originalesResponder0
FomoAnxiety
· 07-21 10:38
Vientos y lluvias, ¿quién guardará la Llave privada en línea?
Ver originalesResponder0
ForkThisDAO
· 07-19 01:48
Otra vez hubo un accidente, los contratos inteligentes pueden ser altos o bajos.
Ver originalesResponder0
GweiTooHigh
· 07-19 01:48
Otra vez van a tomar a la gente por tonta.
Ver originalesResponder0
GateUser-5854de8b
· 07-19 01:29
Código abierto proyecto todavía tiene esta trampa, ¿no es demasiado malo?
Solana sufrió un ataque de cadena de suministro: paquetes NPM maliciosos roban la llave privada y los activos de los usuarios
Análisis del incidente de robo de activos de usuarios de Solana: paquetes NPM maliciosos roban Llave privada
A principios de julio de 2025, un usuario solicitó ayuda al equipo de seguridad, afirmando que sus activos criptográficos fueron robados tras utilizar un proyecto de código abierto en GitHub llamado solana-pumpfun-bot. Tras una investigación, este incidente reveló una cadena de ataque cuidadosamente planificada, que involucraba paquetes NPM maliciosos, proyectos de GitHub disfrazados y técnicas de ingeniería social.
Investigación de eventos
El equipo de seguridad accedió al repositorio de GitHub involucrado y descubrió que, aunque el proyecto tenía un número relativamente alto de estrellas y bifurcaciones, las actualizaciones de código eran anormalmente concentradas, careciendo de características de mantenimiento continuo. Un análisis adicional mostró que el proyecto dependía de un paquete de terceros sospechoso llamado crypto-layout-utils, el cual ha sido retirado por NPM.
A través de la revisión del archivo package-lock.json, los investigadores descubrieron que los atacantes habían sustituido el enlace de descarga de crypto-layout-utils por una dirección de release de GitHub. Después de descargar y analizar este paquete de dependencia altamente ofuscado, se confirmó que contenía código malicioso, con la capacidad de escanear los archivos de la computadora del usuario y subir información sensible.
Métodos de ataque
Los atacantes supuestamente controlan varias cuentas de GitHub para distribuir proyectos maliciosos y aumentar su credibilidad. Elevan la popularidad del proyecto mediante operaciones de Fork y Star, atrayendo la atención y el uso de más usuarios. Además de crypto-layout-utils, se descubrió otro paquete malicioso llamado bs58-encrypt-utils que participa en el ataque.
Utilizando herramientas de análisis en la cadena, se descubrió que los fondos robados finalmente fluyeron hacia una plataforma de intercambio.
Resumen y recomendaciones
Este ataque combinó hábilmente técnicas técnicas y estrategias de ingeniería social. Los atacantes disfrazaron proyectos de código abierto legítimos para engañar a los usuarios y hacer que descargaran y ejecutaran programas de Node.js que contenían dependencias maliciosas, robando así las llaves privadas de las billeteras y los activos.
Para prevenir ataques similares, se sugiere a los desarrolladores y usuarios:
Este evento nos recuerda una vez más que la conciencia de seguridad y una actitud cautelosa son fundamentales en un ecosistema abierto y de código abierto.