Análise do incidente de roubo de chave privada de usuários Solana devido a pacotes NPM maliciosos
No início de julho de 2025, um usuário de Solana pediu ajuda à equipe de segurança, alegando que seus ativos criptográficos foram roubados após usar um projeto de código aberto no GitHub. Após investigação, descobriu-se que se tratava de um ataque que utilizava um pacote NPM malicioso para roubar a chave privada do usuário.
Desenvolvimento do evento
A vítima utilizou um projeto do GitHub chamado solana-pumpfun-bot, que parece normal, com um número elevado de estrelas e forks. No entanto, a atualização do código do projeto ocorreu há cerca de três semanas, faltando características de atualização contínua.
Uma análise mais aprofundada revelou que o projeto depende de um pacote de terceiros suspeito chamado crypto-layout-utils. Este pacote foi removido do NPM oficial e a versão especificada não tem histórico. Os atacantes, na verdade, modificaram o arquivo package-lock.json para direcionar o link de download do pacote de dependência para um repositório do GitHub que controlam.
Análise de Pacotes Maliciosos
A equipe de segurança fez o download e analisou o pacote suspeito crypto-layout-utils-1.3.1, descobrindo que seu código estava altamente ofuscado. Após a desofuscação, foi confirmado que se tratava de um pacote NPM malicioso, que escaneia arquivos sensíveis no computador do usuário e, caso encontre conteúdos relacionados a carteiras ou Chave privada, faz o upload para o servidor do atacante.
Métodos de ataque
Os atacantes podem ter controlado várias contas do GitHub para distribuir programas maliciosos e aumentar a popularidade dos projetos. Eles se disfarçam como projetos de código aberto legítimos, induzindo os usuários a baixar e executar códigos Node.js com dependências maliciosas, roubando assim a chave privada.
Além disso, foi encontrado outro pacote malicioso bs58-encrypt-utils-1.0.3, suspeitando-se que a atividade de ataque pode ter começado em meados de junho de 2025.
Destino dos fundos
Através de ferramentas de análise on-chain, foi descoberto que parte dos fundos roubados foi transferida para uma determinada plataforma de negociação.
Sugestões de segurança
Mantenha-se atento a projetos do GitHub de origem desconhecida, especialmente aqueles que envolvem operações de carteira.
Executar e depurar projetos desconhecidos em um ambiente isolado, se necessário.
Os desenvolvedores devem revisar cuidadosamente as dependências de terceiros, mantendo atenção a pacotes ou links de download suspeitos.
Verificar e atualizar regularmente as dependências do projeto, removendo prontamente os componentes que apresentam riscos de segurança.
Utilize ferramentas de segurança confiáveis para escanear regularmente o código do projeto, detectando precocemente ameaças potenciais.
Este evento mais uma vez demonstra que os atacantes estão constantemente a inovar nas suas técnicas, atacando o ecossistema de código aberto. Os desenvolvedores e os utilizadores devem aumentar a consciência de segurança e manter juntos um ambiente de código aberto saudável.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
12 gostos
Recompensa
12
4
Republicar
Partilhar
Comentar
0/400
GateUser-40edb63b
· 13h atrás
armadilha fórmula retirada enganado também não é novidade
Ver originalResponder0
MidnightSeller
· 13h atrás
Entendido, amigo.
Ver originalResponder0
PumpStrategist
· 13h atrás
O mercado já tinha sinais A lição dada de graça não é bem lembrada
O ecossistema Solana testemunha novamente o roubo de chaves privadas, com pacotes NPM maliciosos disfarçando-se de projetos de código aberto.
Análise do incidente de roubo de chave privada de usuários Solana devido a pacotes NPM maliciosos
No início de julho de 2025, um usuário de Solana pediu ajuda à equipe de segurança, alegando que seus ativos criptográficos foram roubados após usar um projeto de código aberto no GitHub. Após investigação, descobriu-se que se tratava de um ataque que utilizava um pacote NPM malicioso para roubar a chave privada do usuário.
Desenvolvimento do evento
A vítima utilizou um projeto do GitHub chamado solana-pumpfun-bot, que parece normal, com um número elevado de estrelas e forks. No entanto, a atualização do código do projeto ocorreu há cerca de três semanas, faltando características de atualização contínua.
Uma análise mais aprofundada revelou que o projeto depende de um pacote de terceiros suspeito chamado crypto-layout-utils. Este pacote foi removido do NPM oficial e a versão especificada não tem histórico. Os atacantes, na verdade, modificaram o arquivo package-lock.json para direcionar o link de download do pacote de dependência para um repositório do GitHub que controlam.
Análise de Pacotes Maliciosos
A equipe de segurança fez o download e analisou o pacote suspeito crypto-layout-utils-1.3.1, descobrindo que seu código estava altamente ofuscado. Após a desofuscação, foi confirmado que se tratava de um pacote NPM malicioso, que escaneia arquivos sensíveis no computador do usuário e, caso encontre conteúdos relacionados a carteiras ou Chave privada, faz o upload para o servidor do atacante.
Métodos de ataque
Os atacantes podem ter controlado várias contas do GitHub para distribuir programas maliciosos e aumentar a popularidade dos projetos. Eles se disfarçam como projetos de código aberto legítimos, induzindo os usuários a baixar e executar códigos Node.js com dependências maliciosas, roubando assim a chave privada.
Além disso, foi encontrado outro pacote malicioso bs58-encrypt-utils-1.0.3, suspeitando-se que a atividade de ataque pode ter começado em meados de junho de 2025.
Destino dos fundos
Através de ferramentas de análise on-chain, foi descoberto que parte dos fundos roubados foi transferida para uma determinada plataforma de negociação.
Sugestões de segurança
Mantenha-se atento a projetos do GitHub de origem desconhecida, especialmente aqueles que envolvem operações de carteira.
Executar e depurar projetos desconhecidos em um ambiente isolado, se necessário.
Os desenvolvedores devem revisar cuidadosamente as dependências de terceiros, mantendo atenção a pacotes ou links de download suspeitos.
Verificar e atualizar regularmente as dependências do projeto, removendo prontamente os componentes que apresentam riscos de segurança.
Utilize ferramentas de segurança confiáveis para escanear regularmente o código do projeto, detectando precocemente ameaças potenciais.
Este evento mais uma vez demonstra que os atacantes estão constantemente a inovar nas suas técnicas, atacando o ecossistema de código aberto. Os desenvolvedores e os utilizadores devem aumentar a consciência de segurança e manter juntos um ambiente de código aberto saudável.