- Тема
32178 Популярность
10924 Популярность
4623 Популярность
15729 Популярность
60783 Популярность
30245 Популярность
1975 Популярность
94320 Популярность
26526 Популярность
26286 Популярность
- Закрепить
32178 Популярность
10924 Популярность
4623 Популярность
15729 Популярность
60783 Популярность
30245 Популярность
1975 Популярность
94320 Популярность
26526 Популярность
26286 Популярность
Атака фишинга на проект Solana с открытым исходным кодом привела к краже активов пользователей. Будьте осторожны с вредоносными зависимостями на GitHub.
Анализ инцидента кражи активов пользователей Solana
2 июля 2025 года один пользователь обратился за помощью к команде безопасности, сообщив, что после использования открытого проекта на GitHub "solana-pumpfun-bot" его криптоактивы были украдены. Команда безопасности немедленно начала расследование.
Расследование показало, что в этом проекте на GitHub имеется несколько аномальных признаков. Во-первых, код проекта был сосредоточен в одном коммите три недели назад, отсутствуют постоянные обновления. Во-вторых, в зависимостях проекта содержится подозрительный сторонний пакет "crypto-layout-utils", который был удален из официального NPM, и указанная версия не отображается в официальной истории.
Дальнейший анализ показал, что злоумышленник заменил ссылку на загрузку "crypto-layout-utils" в файле package-lock.json, указывая на релиз пакета в репозитории GitHub. Этот пакет был сильно обфусцирован, и после обфускации был подтвержден как вредоносный код. Вредоносный пакет будет сканировать файлы компьютера пользователя в поисках кошельков или связанных с ними приватных ключей и загружать их на сервер, контролируемый злоумышленником.
Злоумышленники также могли контролировать группу аккаунтов GitHub, используемых для форка вредоносных проектов и увеличения числа звезд, чтобы повысить доверие к проекту и расширить его распространение. Некоторые форкнутые проекты использовали другой вредоносный пакет "bs58-encrypt-utils-1.0.3".
С помощью инструментов анализа на блокчейне было установлено, что часть похищенных средств была переведена на одну из торговых платформ.
Атака была осуществлена путем маскировки под легитимные открытые проекты, что заставило пользователей загрузить и запустить Node.js проекты с вредоносными зависимостями, что привело к утечке приватных ключей и краже активов. Метод атаки сочетает в себе социальную инженерию и технические средства, обладая высокой степенью обмана и распространения.
Рекомендуется разработчикам и пользователям проявлять высокую бдительность по отношению к проектам на GitHub с неизвестным источником, особенно когда речь идет о кошельках или операциях с приватными ключами. Если необходимо отладить, это следует делать в отдельной среде без конфиденциальных данных.
Это событие связано с несколькими вредоносными репозиториями GitHub и пакетами NPM; злоумышленники также использовали контролируемые серверы для получения украденных данных. Пользователям следует осторожно использовать проекты с открытым исходным кодом и обеспечивать безопасность окружения, чтобы избежать аналогичных атак.