Зловмисні проекти Node.js використовують пакунки NPM для крадіжки закритих ключів користувачів Solana
На початку липня 2025 року інцидент з крадіжкою активів користувачів Solana привернув увагу експертів з безпеки. Один з потерпілих виявив, що його криптоактиви були вкрадені після використання відкритого проєкту "solana-pumpfun-bot", розміщеного на GitHub.
Після розслідування команди з безпеки було виявлено, що цей проект насправді є ретельно спланованою пасткою. Хоча кількість Star та Fork у проекту досить велика, але час подання його коду аномально зосереджений, бракує характерних для нормальних проектів ознак постійного оновлення.
Глибокий аналіз виявив, що проєкт залежить від підозрілого третього пакету під назвою "crypto-layout-utils". Цей пакет був вилучений з NPM, і зазначена версія не з'являється в офіційній історії. Зловмисник обійшов механізми безпеки NPM, замінивши посилання на завантаження у файлі package-lock.json.
Завантаживши та проаналізувавши цей сильно заплутаний шкідливий пакет, команда безпеки підтвердила, що він може сканувати файли комп'ютера користувача, і, виявивши вміст, пов'язаний з гаманцем або Закритим ключем, він завантажить його на сервери, контрольовані зловмисником.
Крім того, зловмисники могли також контролювати кілька облікових записів GitHub, щоб поширювати шкідливі програми та підвищувати довіру до проекту. У деяких Fork проектах також використовувався інший шкідливий пакет "bs58-encrypt-utils".
Завдяки аналізу в ланцюгу, експерти виявили, що вкрадені кошти були переведені на певну торгову платформу.
Ця подія підкреслює небезпеку прихованого шкідливого коду в відкритих проєктах. Зловмисники використовували маскувальні законні проєкти та штучно завищену популярність, успішно спонукаючи користувачів запускати проєкти Node.js з шкідливими залежностями, що призвело до витоку закритих ключів і крадіжки активів.
Експерти з безпеки рекомендують розробникам і користувачам бути надзвичайно обережними з проектами на GitHub, джерело яких невідоме, особливо коли йдеться про операції з гаманцями або Закритими ключами. Якщо потрібно проводити налагодження, краще робити це в ізольованому середовищі без чутливих даних.
Цей тип атак поєднує соціальну інженерію та технічні засоби, і навіть всередині організації їх важко повністю захистити. Користувачі повинні бути обережними при використанні відкритих проектів, щоб захистити безпеку своїх активів.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Зловмисний пакет NPM маскується під проект Solana, крадучи закриті ключі користувачів, що викликало сигнал тривоги безпеки
Зловмисні проекти Node.js використовують пакунки NPM для крадіжки закритих ключів користувачів Solana
На початку липня 2025 року інцидент з крадіжкою активів користувачів Solana привернув увагу експертів з безпеки. Один з потерпілих виявив, що його криптоактиви були вкрадені після використання відкритого проєкту "solana-pumpfun-bot", розміщеного на GitHub.
Після розслідування команди з безпеки було виявлено, що цей проект насправді є ретельно спланованою пасткою. Хоча кількість Star та Fork у проекту досить велика, але час подання його коду аномально зосереджений, бракує характерних для нормальних проектів ознак постійного оновлення.
Глибокий аналіз виявив, що проєкт залежить від підозрілого третього пакету під назвою "crypto-layout-utils". Цей пакет був вилучений з NPM, і зазначена версія не з'являється в офіційній історії. Зловмисник обійшов механізми безпеки NPM, замінивши посилання на завантаження у файлі package-lock.json.
Завантаживши та проаналізувавши цей сильно заплутаний шкідливий пакет, команда безпеки підтвердила, що він може сканувати файли комп'ютера користувача, і, виявивши вміст, пов'язаний з гаманцем або Закритим ключем, він завантажить його на сервери, контрольовані зловмисником.
Крім того, зловмисники могли також контролювати кілька облікових записів GitHub, щоб поширювати шкідливі програми та підвищувати довіру до проекту. У деяких Fork проектах також використовувався інший шкідливий пакет "bs58-encrypt-utils".
Завдяки аналізу в ланцюгу, експерти виявили, що вкрадені кошти були переведені на певну торгову платформу.
Ця подія підкреслює небезпеку прихованого шкідливого коду в відкритих проєктах. Зловмисники використовували маскувальні законні проєкти та штучно завищену популярність, успішно спонукаючи користувачів запускати проєкти Node.js з шкідливими залежностями, що призвело до витоку закритих ключів і крадіжки активів.
Експерти з безпеки рекомендують розробникам і користувачам бути надзвичайно обережними з проектами на GitHub, джерело яких невідоме, особливо коли йдеться про операції з гаманцями або Закритими ключами. Якщо потрібно проводити налагодження, краще робити це в ізольованому середовищі без чутливих даних.
Цей тип атак поєднує соціальну інженерію та технічні засоби, і навіть всередині організації їх важко повністю захистити. Користувачі повинні бути обережними при використанні відкритих проектів, щоб захистити безпеку своїх активів.