Análise do incidente de roubo de ativos de usuários Solana: Pacote NPM malicioso rouba Chave privada
No início de julho de 2025, um usuário pediu ajuda à equipe de segurança, afirmando que seus ativos criptográficos foram roubados após usar um projeto de código aberto chamado solana-pumpfun-bot no GitHub. Após investigação, este incidente revelou uma cadeia de ataque cuidadosamente planejada, envolvendo pacotes NPM maliciosos, projetos do GitHub disfarçados e técnicas de engenharia social.
Investigação de Eventos
A equipe de segurança acessou o repositório do GitHub envolvido e descobriu que, embora o projeto tenha um número elevado de Stars e Forks, as atualizações de código são anormalmente concentradas, faltando características de manutenção contínua. Uma análise mais aprofundada mostrou que o projeto depende de um pacote de terceiros suspeito, crypto-layout-utils, que foi removido oficialmente do NPM.
Ao verificar o arquivo package-lock.json, os pesquisadores descobriram que os atacantes substituíram o link de download do crypto-layout-utils por um endereço de release do GitHub. Após baixar e analisar este pacote de dependência altamente ofuscado, foi confirmado que se tratava de código malicioso, com a capacidade de escanear arquivos do computador do usuário e fazer upload de informações sensíveis.
Métodos de ataque
Os atacantes suspeitam ter controlado várias contas do GitHub para distribuir projetos maliciosos e aumentar sua credibilidade. Eles melhoraram a popularidade dos projetos através de operações de Fork e Star, atraindo mais usuários para prestar atenção e usar. Além do crypto-layout-utils, outro pacote malicioso chamado bs58-encrypt-utils foi descoberto participando do ataque.
Usando ferramentas de análise on-chain, foi rastreado que os fundos roubados acabaram sendo direcionados para uma plataforma de troca.
Resumo e Sugestões
Este ataque combinou habilmente técnicas tecnológicas e estratégias de engenharia social. Os atacantes disfarçaram projetos de código aberto legítimos, induzindo os usuários a baixar e executar programas Node.js com dependências maliciosas, roubando assim as chaves privadas da carteira e os ativos.
Para prevenir ataques semelhantes, recomenda-se aos desenvolvedores e usuários:
Mantenha uma alta vigilância sobre projetos do GitHub de origem desconhecida, especialmente aqueles que envolvem operações de carteiras ou Chave privada.
Executar e depurar código não familiar em um ambiente independente e sem dados sensíveis.
Verifique regularmente as dependências do projeto para garantir que está a usar pacotes oficialmente certificados.
Fique atento ao histórico de atualizações do projeto e ao feedback da comunidade, evite projetos que de repente se tornam populares, mas carecem de manutenção a longo prazo.
Este evento nos lembra mais uma vez que a consciência de segurança e uma atitude cautelosa são fundamentais em um ecossistema de código aberto.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
16 gostos
Recompensa
16
5
Partilhar
Comentar
0/400
DYORMaster
· 07-21 23:59
Outra armadilha de projeto foi roubada.
Ver originalResponder0
FomoAnxiety
· 07-21 10:38
Tempestades e chuvas, quem vai guardar a chave privada online?
Ver originalResponder0
ForkThisDAO
· 07-19 01:48
Mais um acidente ocorreu. Os contratos inteligentes podem ser altos ou baixos.
Ver originalResponder0
GweiTooHigh
· 07-19 01:48
又要 fazer as pessoas de parvas uma vez mais呗
Ver originalResponder0
GateUser-5854de8b
· 07-19 01:29
Código aberto projeto ainda tem esta armadilha Muito mau, não?
Solana sofreu um ataque à cadeia de fornecimento: pacotes NPM maliciosos roubaram chaves privadas e ativos dos usuários
Análise do incidente de roubo de ativos de usuários Solana: Pacote NPM malicioso rouba Chave privada
No início de julho de 2025, um usuário pediu ajuda à equipe de segurança, afirmando que seus ativos criptográficos foram roubados após usar um projeto de código aberto chamado solana-pumpfun-bot no GitHub. Após investigação, este incidente revelou uma cadeia de ataque cuidadosamente planejada, envolvendo pacotes NPM maliciosos, projetos do GitHub disfarçados e técnicas de engenharia social.
Investigação de Eventos
A equipe de segurança acessou o repositório do GitHub envolvido e descobriu que, embora o projeto tenha um número elevado de Stars e Forks, as atualizações de código são anormalmente concentradas, faltando características de manutenção contínua. Uma análise mais aprofundada mostrou que o projeto depende de um pacote de terceiros suspeito, crypto-layout-utils, que foi removido oficialmente do NPM.
Ao verificar o arquivo package-lock.json, os pesquisadores descobriram que os atacantes substituíram o link de download do crypto-layout-utils por um endereço de release do GitHub. Após baixar e analisar este pacote de dependência altamente ofuscado, foi confirmado que se tratava de código malicioso, com a capacidade de escanear arquivos do computador do usuário e fazer upload de informações sensíveis.
Métodos de ataque
Os atacantes suspeitam ter controlado várias contas do GitHub para distribuir projetos maliciosos e aumentar sua credibilidade. Eles melhoraram a popularidade dos projetos através de operações de Fork e Star, atraindo mais usuários para prestar atenção e usar. Além do crypto-layout-utils, outro pacote malicioso chamado bs58-encrypt-utils foi descoberto participando do ataque.
Usando ferramentas de análise on-chain, foi rastreado que os fundos roubados acabaram sendo direcionados para uma plataforma de troca.
Resumo e Sugestões
Este ataque combinou habilmente técnicas tecnológicas e estratégias de engenharia social. Os atacantes disfarçaram projetos de código aberto legítimos, induzindo os usuários a baixar e executar programas Node.js com dependências maliciosas, roubando assim as chaves privadas da carteira e os ativos.
Para prevenir ataques semelhantes, recomenda-se aos desenvolvedores e usuários:
Este evento nos lembra mais uma vez que a consciência de segurança e uma atitude cautelosa são fundamentais em um ecossistema de código aberto.