Usuários de Solana sofrem ataque de pacote NPM malicioso, chave privada roubada
No início de julho de 2025, um ataque malicioso dirigido a usuários do Solana chamou a atenção de especialistas em segurança. Um usuário, após utilizar um projeto de código aberto no GitHub, descobriu que seus ativos criptográficos haviam sido roubados. Após uma investigação aprofundada, a equipe de segurança revelou os detalhes desse incidente.
Resumo do Evento
A vítima utilizou um projeto do GitHub chamado "solana-pumpfun-bot" e, em seguida, descobriu que os ativos da carteira foram roubados. A investigação revelou que o projeto continha pacotes NPM maliciosos, capazes de escanear o computador do usuário e roubar informações da Chave privada.
Análise de técnicas de ataque
O atacante falsificou um projeto de código aberto que parecia normal no GitHub.
O projeto depende de um pacote NPM suspeito chamado "crypto-layout-utils".
O atacante substituiu o link de download do pacote, apontando para uma versão maliciosa sob seu controle.
Pacotes maliciosos irão escanear o computador do usuário à procura de arquivos relacionados a carteiras e Chave privada.
Após descobrir informações sensíveis, carregue-as para o servidor do atacante.
O atacante utiliza várias contas do GitHub para aumentar a popularidade do projeto e aumentar a credibilidade.
Detalhes técnicos
Pacotes maliciosos usam jsjiami.com.v7 para ofuscação de código, aumentando a dificuldade de análise.
Inclui a funcionalidade de escanear diretórios de arquivos sensíveis e carregar o conteúdo da chave privada.
O atacante também usou outro pacote malicioso "bs58-encrypt-utils-1.0.3".
Fluxo de Fundos
Através de ferramentas de análise na cadeia, descobriu-se que parte dos fundos roubados fluiu para uma determinada plataforma de negociação.
Sugestões de Segurança
Mantenha uma alta vigilância sobre projetos do GitHub de origem desconhecida, especialmente aqueles que envolvem operações de carteira.
Executar e depurar código desconhecido em um ambiente independente e sem dados sensíveis.
Verifique regularmente as dependências do projeto e preste atenção a pacotes ou links de download suspeitos.
Use ferramentas e serviços de segurança confiáveis para proteger a chave privada e informações sensíveis.
Este incidente lembra-nos mais uma vez que, no mundo descentralizado, a consciência de segurança e a atitude cautelosa dos usuários são fundamentais. Os desenvolvedores também devem prestar mais atenção à segurança das dependências do projeto, a fim de prevenir ataques à cadeia de suprimentos.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
Usuários do Solana atacados por pacotes NPM maliciosos, Chave privada roubada gera alerta de segurança
Usuários de Solana sofrem ataque de pacote NPM malicioso, chave privada roubada
No início de julho de 2025, um ataque malicioso dirigido a usuários do Solana chamou a atenção de especialistas em segurança. Um usuário, após utilizar um projeto de código aberto no GitHub, descobriu que seus ativos criptográficos haviam sido roubados. Após uma investigação aprofundada, a equipe de segurança revelou os detalhes desse incidente.
Resumo do Evento
A vítima utilizou um projeto do GitHub chamado "solana-pumpfun-bot" e, em seguida, descobriu que os ativos da carteira foram roubados. A investigação revelou que o projeto continha pacotes NPM maliciosos, capazes de escanear o computador do usuário e roubar informações da Chave privada.
Análise de técnicas de ataque
O atacante falsificou um projeto de código aberto que parecia normal no GitHub.
O projeto depende de um pacote NPM suspeito chamado "crypto-layout-utils".
O atacante substituiu o link de download do pacote, apontando para uma versão maliciosa sob seu controle.
Pacotes maliciosos irão escanear o computador do usuário à procura de arquivos relacionados a carteiras e Chave privada.
Após descobrir informações sensíveis, carregue-as para o servidor do atacante.
O atacante utiliza várias contas do GitHub para aumentar a popularidade do projeto e aumentar a credibilidade.
Detalhes técnicos
Pacotes maliciosos usam jsjiami.com.v7 para ofuscação de código, aumentando a dificuldade de análise.
Inclui a funcionalidade de escanear diretórios de arquivos sensíveis e carregar o conteúdo da chave privada.
O atacante também usou outro pacote malicioso "bs58-encrypt-utils-1.0.3".
Fluxo de Fundos
Através de ferramentas de análise na cadeia, descobriu-se que parte dos fundos roubados fluiu para uma determinada plataforma de negociação.
Sugestões de Segurança
Mantenha uma alta vigilância sobre projetos do GitHub de origem desconhecida, especialmente aqueles que envolvem operações de carteira.
Executar e depurar código desconhecido em um ambiente independente e sem dados sensíveis.
Verifique regularmente as dependências do projeto e preste atenção a pacotes ou links de download suspeitos.
Use ferramentas e serviços de segurança confiáveis para proteger a chave privada e informações sensíveis.
Este incidente lembra-nos mais uma vez que, no mundo descentralizado, a consciência de segurança e a atitude cautelosa dos usuários são fundamentais. Os desenvolvedores também devem prestar mais atenção à segurança das dependências do projeto, a fim de prevenir ataques à cadeia de suprimentos.