Análisis de casos de robo de activos de usuarios de Solana: paquetes NPM maliciosos que roban Llave privada
El 2 de julio de 2025, un usuario solicitó ayuda al equipo de seguridad, afirmando que sus activos criptográficos fueron robados después de usar un proyecto de código abierto en GitHub. El proyecto se llama solana-pumpfun-bot y está alojado en la plataforma GitHub.
El equipo de seguridad inmediatamente inició una investigación. Primero revisaron el repositorio de GitHub del proyecto y encontraron que tenía un alto número de Stars y Forks, pero el tiempo de envío de código se concentró en hace tres semanas, lo que muestra una falta de actualizaciones continuas, lo que despertó la alerta del equipo de seguridad.
Un análisis más profundo reveló que este proyecto de Node.js depende de un paquete de terceros llamado crypto-layout-utils. Sin embargo, este paquete ha sido retirado oficialmente de NPM, y la versión específica no aparece en el historial de NPM.
Al revisar el archivo package-lock.json, el equipo descubrió que el atacante había reemplazado el enlace de descarga de crypto-layout-utils por una dirección de lanzamiento de GitHub. Después de descargar y analizar este paquete, se descubrió que contenía código malicioso altamente ofuscado.
Después de deshacer la ofuscación, el equipo de seguridad confirmó que se trata de un paquete NPM malicioso. Escanea los archivos en la computadora del usuario y, una vez que encuentra contenido relacionado con billeteras o Llave privada, lo sube a un servidor controlado por el atacante.
La investigación también descubrió que los atacantes podrían haber controlado varias cuentas de GitHub, utilizadas para bifurcar proyectos maliciosos y distribuir programas maliciosos, al mismo tiempo que aumentan el número de bifurcaciones y estrellas del proyecto, atrayendo la atención de más usuarios.
Algunos proyectos Fork también han utilizado otro paquete malicioso bs58-encrypt-utils-1.0.3. Este paquete malicioso fue creado el 12 de junio de 2025, y se estima que los atacantes comenzaron a distribuir paquetes maliciosos de NPM y proyectos de Node.js desde entonces.
A través de herramientas de análisis en la cadena, el equipo rastreó una dirección de atacante que transfirió los fondos robados a una plataforma de intercambio.
En este ataque, el atacante se disfrazó de un proyecto de código abierto legítimo para inducir a los usuarios a descargar y ejecutar código malicioso. El atacante también aumentó la popularidad del proyecto para incrementar su credibilidad. Este tipo de ataque combina ingeniería social y técnicas, lo que lo hace difícil de defender completamente.
Se recomienda a los desarrolladores y usuarios que mantengan una alta vigilancia sobre proyectos de GitHub de origen desconocido, especialmente cuando se trata de operaciones con billeteras o Llave privada. Si es necesario depurar, lo mejor es hacerlo en un entorno aislado y sin datos sensibles.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
14 me gusta
Recompensa
14
3
Compartir
Comentar
0/400
ProposalManiac
· hace18h
Usar proyectos pequeños con precaución
Ver originalesResponder0
DefiSecurityGuard
· hace18h
Se detectaron señales de alerta típicas de honeypot
Ver originalesResponder0
ShibaMillionairen't
· hace18h
El robo de moneda es realmente difícil de prevenir.
Activos de usuarios de Solana robados: un paquete NPM malicioso roba la llave privada a través de un proyecto de GitHub
Análisis de casos de robo de activos de usuarios de Solana: paquetes NPM maliciosos que roban Llave privada
El 2 de julio de 2025, un usuario solicitó ayuda al equipo de seguridad, afirmando que sus activos criptográficos fueron robados después de usar un proyecto de código abierto en GitHub. El proyecto se llama solana-pumpfun-bot y está alojado en la plataforma GitHub.
El equipo de seguridad inmediatamente inició una investigación. Primero revisaron el repositorio de GitHub del proyecto y encontraron que tenía un alto número de Stars y Forks, pero el tiempo de envío de código se concentró en hace tres semanas, lo que muestra una falta de actualizaciones continuas, lo que despertó la alerta del equipo de seguridad.
Un análisis más profundo reveló que este proyecto de Node.js depende de un paquete de terceros llamado crypto-layout-utils. Sin embargo, este paquete ha sido retirado oficialmente de NPM, y la versión específica no aparece en el historial de NPM.
Al revisar el archivo package-lock.json, el equipo descubrió que el atacante había reemplazado el enlace de descarga de crypto-layout-utils por una dirección de lanzamiento de GitHub. Después de descargar y analizar este paquete, se descubrió que contenía código malicioso altamente ofuscado.
Después de deshacer la ofuscación, el equipo de seguridad confirmó que se trata de un paquete NPM malicioso. Escanea los archivos en la computadora del usuario y, una vez que encuentra contenido relacionado con billeteras o Llave privada, lo sube a un servidor controlado por el atacante.
La investigación también descubrió que los atacantes podrían haber controlado varias cuentas de GitHub, utilizadas para bifurcar proyectos maliciosos y distribuir programas maliciosos, al mismo tiempo que aumentan el número de bifurcaciones y estrellas del proyecto, atrayendo la atención de más usuarios.
Algunos proyectos Fork también han utilizado otro paquete malicioso bs58-encrypt-utils-1.0.3. Este paquete malicioso fue creado el 12 de junio de 2025, y se estima que los atacantes comenzaron a distribuir paquetes maliciosos de NPM y proyectos de Node.js desde entonces.
A través de herramientas de análisis en la cadena, el equipo rastreó una dirección de atacante que transfirió los fondos robados a una plataforma de intercambio.
En este ataque, el atacante se disfrazó de un proyecto de código abierto legítimo para inducir a los usuarios a descargar y ejecutar código malicioso. El atacante también aumentó la popularidad del proyecto para incrementar su credibilidad. Este tipo de ataque combina ingeniería social y técnicas, lo que lo hace difícil de defender completamente.
Se recomienda a los desarrolladores y usuarios que mantengan una alta vigilancia sobre proyectos de GitHub de origen desconocido, especialmente cuando se trata de operaciones con billeteras o Llave privada. Si es necesario depurar, lo mejor es hacerlo en un entorno aislado y sin datos sensibles.