Analyse de l'incident de vol d'actifs des utilisateurs de Solana : un package NPM malveillant vole des Clés privées
Début juillet 2025, un utilisateur a demandé de l'aide à l'équipe de sécurité, affirmant que ses actifs cryptographiques avaient été volés après avoir utilisé un projet open source nommé solana-pumpfun-bot sur GitHub. Après enquête, cet incident a révélé une chaîne d'attaques soigneusement orchestrée, impliquant des paquets NPM malveillants, des projets GitHub déguisés et des techniques d'ingénierie sociale.
Enquête sur l'événement
L'équipe de sécurité a accédé au dépôt GitHub concerné et a constaté que bien que le projet ait un nombre élevé d'étoiles et de forks, les mises à jour du code sont anormalement concentrées, manquant de caractéristiques de maintenance continue. Une analyse plus approfondie a montré que le projet dépendait d'un paquet tiers suspect, crypto-layout-utils, qui a été retiré par les autorités de NPM.
En vérifiant le fichier package-lock.json, les chercheurs ont découvert que les attaquants avaient remplacé le lien de téléchargement de crypto-layout-utils par une adresse de release GitHub. Après avoir téléchargé et analysé ce package de dépendance hautement obscurci, il a été confirmé qu'il s'agissait de code malveillant, capable de scanner les fichiers de l'ordinateur de l'utilisateur et de télécharger des informations sensibles.
Méthodes d'attaque
Des attaquants auraient contrôlé plusieurs comptes GitHub pour distribuer des projets malveillants et accroître leur crédibilité. Ils ont augmenté la popularité des projets en utilisant des opérations de Fork et de Star, attirant ainsi l'attention et l'utilisation de plus d'utilisateurs. En plus de crypto-layout-utils, un autre paquet malveillant nommé bs58-encrypt-utils a également été découvert participant à l'attaque.
En utilisant des outils d'analyse on-chain, nous avons découvert que les fonds volés ont finalement été transférés vers une plateforme d'échange.
Résumé et suggestions
Cette attaque combine habilement des moyens techniques et des stratégies d'ingénierie sociale. Les attaquants déguisent des projets open source légitimes pour inciter les utilisateurs à télécharger et exécuter des programmes Node.js contenant des dépendances malveillantes, permettant ainsi de voler la Clé privée et les actifs des portefeuilles.
Pour prévenir des attaques similaires, il est conseillé aux développeurs et aux utilisateurs :
Restez extrêmement vigilant envers les projets GitHub d'origine inconnue, en particulier ceux impliquant des opérations de portefeuille ou de Clé privée.
Exécuter et déboguer du code inconnu dans un environnement indépendant et sans données sensibles.
Vérifiez régulièrement les dépendances du projet pour vous assurer d'utiliser des packages certifiés par l'officiel.
Suivez l'historique des mises à jour du projet et les retours de la communauté, méfiez-vous des projets qui connaissent un succès soudain mais manquent de maintenance à long terme.
Cet événement nous rappelle une fois de plus que la sensibilisation à la sécurité et une attitude prudente sont essentielles dans un écosystème open source ouvert.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
16 J'aime
Récompense
16
5
Partager
Commentaire
0/400
DYORMaster
· 07-21 23:59
Encore un piège de projet volé.
Voir l'originalRépondre0
FomoAnxiety
· 07-21 10:38
Vent et pluie, qui va garder la clé privée en ligne ?
Voir l'originalRépondre0
ForkThisDAO
· 07-19 01:48
Encore un accident. Les smart contracts peuvent être à la fois puissants et faibles.
Voir l'originalRépondre0
GweiTooHigh
· 07-19 01:48
Encore une fois, on va prendre les gens pour des idiots.
Voir l'originalRépondre0
GateUser-5854de8b
· 07-19 01:29
Projet Open Source, il y a ce piège, c'est trop mauvais, non ?
Solana a subi une attaque de Supply Chain : un paquet NPM malveillant a volé les clés privées et les actifs des utilisateurs.
Analyse de l'incident de vol d'actifs des utilisateurs de Solana : un package NPM malveillant vole des Clés privées
Début juillet 2025, un utilisateur a demandé de l'aide à l'équipe de sécurité, affirmant que ses actifs cryptographiques avaient été volés après avoir utilisé un projet open source nommé solana-pumpfun-bot sur GitHub. Après enquête, cet incident a révélé une chaîne d'attaques soigneusement orchestrée, impliquant des paquets NPM malveillants, des projets GitHub déguisés et des techniques d'ingénierie sociale.
Enquête sur l'événement
L'équipe de sécurité a accédé au dépôt GitHub concerné et a constaté que bien que le projet ait un nombre élevé d'étoiles et de forks, les mises à jour du code sont anormalement concentrées, manquant de caractéristiques de maintenance continue. Une analyse plus approfondie a montré que le projet dépendait d'un paquet tiers suspect, crypto-layout-utils, qui a été retiré par les autorités de NPM.
En vérifiant le fichier package-lock.json, les chercheurs ont découvert que les attaquants avaient remplacé le lien de téléchargement de crypto-layout-utils par une adresse de release GitHub. Après avoir téléchargé et analysé ce package de dépendance hautement obscurci, il a été confirmé qu'il s'agissait de code malveillant, capable de scanner les fichiers de l'ordinateur de l'utilisateur et de télécharger des informations sensibles.
Méthodes d'attaque
Des attaquants auraient contrôlé plusieurs comptes GitHub pour distribuer des projets malveillants et accroître leur crédibilité. Ils ont augmenté la popularité des projets en utilisant des opérations de Fork et de Star, attirant ainsi l'attention et l'utilisation de plus d'utilisateurs. En plus de crypto-layout-utils, un autre paquet malveillant nommé bs58-encrypt-utils a également été découvert participant à l'attaque.
En utilisant des outils d'analyse on-chain, nous avons découvert que les fonds volés ont finalement été transférés vers une plateforme d'échange.
Résumé et suggestions
Cette attaque combine habilement des moyens techniques et des stratégies d'ingénierie sociale. Les attaquants déguisent des projets open source légitimes pour inciter les utilisateurs à télécharger et exécuter des programmes Node.js contenant des dépendances malveillantes, permettant ainsi de voler la Clé privée et les actifs des portefeuilles.
Pour prévenir des attaques similaires, il est conseillé aux développeurs et aux utilisateurs :
Cet événement nous rappelle une fois de plus que la sensibilisation à la sécurité et une attitude prudente sont essentielles dans un écosystème open source ouvert.