Злонамеренные проекты Node.js используют пакеты NPM для кражи закрытых ключей пользователей Solana
В начале июля 2025 года инцидент с кражей активов у пользователей Solana привлек внимание специалистов по безопасности. Один из жертв, использовавший проект с открытым исходным кодом "solana-pumpfun-bot", размещенный на GitHub, обнаружил, что его криптоактивы были украдены.
После расследования команда безопасности обнаружила, что проект на самом деле является тщательно спланированной ловушкой. Хотя количество Star и Fork проекта довольно высоко, его время внесения кода аномально сосредоточено, что говорит о недостатке регулярных обновлений, присущих нормальным проектам.
Глубокий анализ показал, что проект зависит от подозрительного стороннего пакета под названием "crypto-layout-utils". Этот пакет был удален из официального реестра NPM, и указанная версия не появилась в официальной истории. Злоумышленники обошли механизмы безопасности NPM, заменив ссылки для скачивания в файле package-lock.json.
Скачав и проанализировав этот сильно замаскированный вредоносный пакет, команда безопасности подтвердила, что он может сканировать файлы компьютера пользователя и, обнаружив содержимое, связанное с кошельком или Закрытым ключом, загружает его на сервер, контролируемый злоумышленником.
Кроме того, злоумышленники могли контролировать несколько аккаунтов GitHub, чтобы распространять вредоносные программы и повышать доверие к проекту. В некоторых форк-проектах также использовался другой вредоносный пакет "bs58-encrypt-utils".
С помощью анализа блокчейна эксперты обнаружили, что похищенные средства были переведены на одну из торговых платформ.
Этот инцидент подчеркивает опасность скрытия вредоносного кода в открытых проектах. Злоумышленники использовали замаскированные легитимные проекты и завышенный интерес, чтобы успешно заставить пользователей запускать Node.js проекты с вредоносными зависимостями, что привело к утечке Закрытый ключ и кражам активов.
Эксперты по безопасности советуют разработчикам и пользователям проявлять повышенную осторожность к проектам GitHub с неясным происхождением, особенно когда речь идет о кошельках или операциях с Закрытым ключом. При необходимости отладки лучше всего делать это в изолированной среде без чувствительных данных.
Данный тип атак сочетает в себе социальную инженерию и технические средства, и даже внутри организации полностью защититься от них сложно. Пользователи должны быть осторожны при использовании открытых проектов, чтобы защитить свои активы.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Зловредный пакет NPM маскируется под проект Solana, кража закрытого ключа пользователей вызывает предупреждение о безопасности
Злонамеренные проекты Node.js используют пакеты NPM для кражи закрытых ключей пользователей Solana
В начале июля 2025 года инцидент с кражей активов у пользователей Solana привлек внимание специалистов по безопасности. Один из жертв, использовавший проект с открытым исходным кодом "solana-pumpfun-bot", размещенный на GitHub, обнаружил, что его криптоактивы были украдены.
После расследования команда безопасности обнаружила, что проект на самом деле является тщательно спланированной ловушкой. Хотя количество Star и Fork проекта довольно высоко, его время внесения кода аномально сосредоточено, что говорит о недостатке регулярных обновлений, присущих нормальным проектам.
Глубокий анализ показал, что проект зависит от подозрительного стороннего пакета под названием "crypto-layout-utils". Этот пакет был удален из официального реестра NPM, и указанная версия не появилась в официальной истории. Злоумышленники обошли механизмы безопасности NPM, заменив ссылки для скачивания в файле package-lock.json.
Скачав и проанализировав этот сильно замаскированный вредоносный пакет, команда безопасности подтвердила, что он может сканировать файлы компьютера пользователя и, обнаружив содержимое, связанное с кошельком или Закрытым ключом, загружает его на сервер, контролируемый злоумышленником.
Кроме того, злоумышленники могли контролировать несколько аккаунтов GitHub, чтобы распространять вредоносные программы и повышать доверие к проекту. В некоторых форк-проектах также использовался другой вредоносный пакет "bs58-encrypt-utils".
С помощью анализа блокчейна эксперты обнаружили, что похищенные средства были переведены на одну из торговых платформ.
Этот инцидент подчеркивает опасность скрытия вредоносного кода в открытых проектах. Злоумышленники использовали замаскированные легитимные проекты и завышенный интерес, чтобы успешно заставить пользователей запускать Node.js проекты с вредоносными зависимостями, что привело к утечке Закрытый ключ и кражам активов.
Эксперты по безопасности советуют разработчикам и пользователям проявлять повышенную осторожность к проектам GitHub с неясным происхождением, особенно когда речь идет о кошельках или операциях с Закрытым ключом. При необходимости отладки лучше всего делать это в изолированной среде без чувствительных данных.
Данный тип атак сочетает в себе социальную инженерию и технические средства, и даже внутри организации полностью защититься от них сложно. Пользователи должны быть осторожны при использовании открытых проектов, чтобы защитить свои активы.