Người dùng Solana bị tấn công bởi gói NPM độc hại, khóa riêng bị đánh cắp
Vào đầu tháng 7 năm 2025, một sự kiện tấn công độc hại nhằm vào người dùng Solana đã thu hút sự chú ý của các chuyên gia an ninh. Một người dùng sau khi sử dụng một dự án mã nguồn mở trên GitHub đã phát hiện ra tài sản tiền điện tử của mình bị đánh cắp. Qua điều tra sâu, đội ngũ an ninh đã tiết lộ nguồn gốc của sự kiện này.
Tóm tắt sự kiện
Nạn nhân đã sử dụng một dự án GitHub có tên "solana-pumpfun-bot", sau đó phát hiện tài sản trong ví bị đánh cắp. Cuộc điều tra cho thấy dự án này chứa các gói NPM độc hại, có khả năng quét máy tính của người dùng và đánh cắp thông tin khóa riêng.
Phân tích phương pháp tấn công
Kẻ tấn công đã giả mạo một dự án mã nguồn mở có vẻ bình thường trên GitHub.
Dự án phụ thuộc vào một gói NPM nghi ngờ có tên "crypto-layout-utils".
Kẻ tấn công đã thay thế liên kết tải xuống của gói, chỉ vào phiên bản độc hại mà họ kiểm soát.
Gói độc hại sẽ quét máy tính của người dùng để tìm kiếm các tệp liên quan đến ví và Khóa riêng.
Sau khi phát hiện thông tin nhạy cảm, hãy tải nó lên máy chủ của kẻ tấn công.
Kẻ tấn công sử dụng nhiều tài khoản GitHub để tăng độ phổ biến của dự án, nâng cao độ tin cậy.
Chi tiết kỹ thuật
Gói độc hại sử dụng jsjiami.com.v7 để làm rối mã, tăng độ khó phân tích.
Bao gồm chức năng quét thư mục tệp nhạy cảm và tải lên nội dung khóa riêng.
Kẻ tấn công còn sử dụng một gói độc hại khác "bs58-encrypt-utils-1.0.3".
Dòng tiền
Thông qua công cụ phân tích trên chuỗi, phát hiện một phần số tiền bị đánh cắp đã chảy vào một sàn giao dịch.
Đề xuất an toàn
Giữ cảnh giác cao đối với các dự án GitHub không rõ nguồn gốc, đặc biệt là các dự án liên quan đến thao tác ví.
Chạy và gỡ lỗi mã không quen thuộc trong môi trường độc lập và không có dữ liệu nhạy cảm.
Thường xuyên kiểm tra các phụ thuộc của dự án, chú ý đến các gói hoặc liên kết tải xuống nghi ngờ.
Sử dụng các công cụ và dịch vụ an toàn đáng tin cậy để bảo vệ Khóa riêng và thông tin nhạy cảm.
Sự kiện này lại nhắc nhở chúng ta rằng, trong thế giới phi tập trung, nhận thức về an toàn và thái độ thận trọng của người dùng là vô cùng quan trọng. Các nhà phát triển cũng nên chú trọng hơn đến tính an toàn của các dự án mà họ phụ thuộc vào, để phòng ngừa các cuộc tấn công chuỗi cung ứng như vậy.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Người dùng Solana bị tấn công bởi gói NPM độc hại, khóa riêng bị đánh cắp gây ra cảnh báo an ninh.
Người dùng Solana bị tấn công bởi gói NPM độc hại, khóa riêng bị đánh cắp
Vào đầu tháng 7 năm 2025, một sự kiện tấn công độc hại nhằm vào người dùng Solana đã thu hút sự chú ý của các chuyên gia an ninh. Một người dùng sau khi sử dụng một dự án mã nguồn mở trên GitHub đã phát hiện ra tài sản tiền điện tử của mình bị đánh cắp. Qua điều tra sâu, đội ngũ an ninh đã tiết lộ nguồn gốc của sự kiện này.
Tóm tắt sự kiện
Nạn nhân đã sử dụng một dự án GitHub có tên "solana-pumpfun-bot", sau đó phát hiện tài sản trong ví bị đánh cắp. Cuộc điều tra cho thấy dự án này chứa các gói NPM độc hại, có khả năng quét máy tính của người dùng và đánh cắp thông tin khóa riêng.
Phân tích phương pháp tấn công
Kẻ tấn công đã giả mạo một dự án mã nguồn mở có vẻ bình thường trên GitHub.
Dự án phụ thuộc vào một gói NPM nghi ngờ có tên "crypto-layout-utils".
Kẻ tấn công đã thay thế liên kết tải xuống của gói, chỉ vào phiên bản độc hại mà họ kiểm soát.
Gói độc hại sẽ quét máy tính của người dùng để tìm kiếm các tệp liên quan đến ví và Khóa riêng.
Sau khi phát hiện thông tin nhạy cảm, hãy tải nó lên máy chủ của kẻ tấn công.
Kẻ tấn công sử dụng nhiều tài khoản GitHub để tăng độ phổ biến của dự án, nâng cao độ tin cậy.
Chi tiết kỹ thuật
Gói độc hại sử dụng jsjiami.com.v7 để làm rối mã, tăng độ khó phân tích.
Bao gồm chức năng quét thư mục tệp nhạy cảm và tải lên nội dung khóa riêng.
Kẻ tấn công còn sử dụng một gói độc hại khác "bs58-encrypt-utils-1.0.3".
Dòng tiền
Thông qua công cụ phân tích trên chuỗi, phát hiện một phần số tiền bị đánh cắp đã chảy vào một sàn giao dịch.
Đề xuất an toàn
Giữ cảnh giác cao đối với các dự án GitHub không rõ nguồn gốc, đặc biệt là các dự án liên quan đến thao tác ví.
Chạy và gỡ lỗi mã không quen thuộc trong môi trường độc lập và không có dữ liệu nhạy cảm.
Thường xuyên kiểm tra các phụ thuộc của dự án, chú ý đến các gói hoặc liên kết tải xuống nghi ngờ.
Sử dụng các công cụ và dịch vụ an toàn đáng tin cậy để bảo vệ Khóa riêng và thông tin nhạy cảm.
Sự kiện này lại nhắc nhở chúng ta rằng, trong thế giới phi tập trung, nhận thức về an toàn và thái độ thận trọng của người dùng là vô cùng quan trọng. Các nhà phát triển cũng nên chú trọng hơn đến tính an toàn của các dự án mà họ phụ thuộc vào, để phòng ngừa các cuộc tấn công chuỗi cung ứng như vậy.