Analyse de cas de vol d'actifs des utilisateurs de Solana : un paquet NPM malveillant vole la clé privée
Le 2 juillet 2025, un utilisateur a demandé de l'aide à l'équipe de sécurité, déclarant que ses actifs cryptographiques avaient été volés après avoir utilisé un projet open source sur GitHub. Ce projet s'appelle solana-pumpfun-bot, hébergé sur la plateforme GitHub.
L'équipe de sécurité a immédiatement commencé son enquête. Elle a d'abord vérifié le dépôt GitHub du projet et a constaté que le nombre d'étoiles et de forks était relativement élevé, mais que les soumissions de code étaient concentrées sur les trois dernières semaines, manquant de mises à jour continues, ce qui a suscité l'inquiétude de l'équipe de sécurité.
Une analyse plus approfondie révèle que ce projet Node.js dépend d'un paquet tiers nommé crypto-layout-utils. Cependant, ce paquet a été retiré par NPM et la version spécifiée n'apparaît pas dans l'historique de NPM.
En vérifiant le fichier package-lock.json, l'équipe a découvert que l'attaquant avait remplacé le lien de téléchargement de crypto-layout-utils par une adresse de publication GitHub. Après avoir téléchargé et analysé ce paquet, il a été constaté qu'il contenait un code malveillant fortement obfusqué.
Après déconfusion, l'équipe de sécurité a confirmé qu'il s'agissait d'un paquet NPM malveillant. Il scanne les fichiers sur l'ordinateur de l'utilisateur et, dès qu'il trouve des contenus liés à des portefeuilles ou à des clés privées, il les télécharge sur un serveur contrôlé par l'attaquant.
L'enquête a également révélé que les attaquants pourraient contrôler plusieurs comptes GitHub, utilisés pour forker des projets malveillants et distribuer des programmes malveillants, tout en augmentant le nombre de forks et d'étoiles des projets, attirant ainsi l'attention de plus d'utilisateurs.
Certains projets Fork ont également utilisé un autre paquet malveillant bs58-encrypt-utils-1.0.3. Ce paquet malveillant a été créé le 12 juin 2025, et on suppose que les attaquants ont commencé à distribuer des paquets NPM malveillants et des projets Node.js depuis cette date.
Grâce à des outils d'analyse on-chain, l'équipe a retracé une adresse d'attaquant qui a transféré des fonds volés vers une certaine plateforme d'échange.
Lors de cette attaque, les attaquants ont déguisé des projets open source légitimes pour inciter les utilisateurs à télécharger et exécuter du code malveillant. Les attaquants ont également augmenté la popularité du projet pour accroître sa crédibilité. Cette attaque combine des techniques d'ingénierie sociale et des moyens techniques, ce qui la rend difficile à défendre complètement.
Il est recommandé aux développeurs et aux utilisateurs de rester très vigilants face aux projets GitHub d'origine inconnue, en particulier lorsqu'il s'agit d'opérations sur des portefeuilles ou des clés privées. En cas de besoin de débogage, il est préférable de le faire dans un environnement indépendant et sans données sensibles.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
14 J'aime
Récompense
14
3
Partager
Commentaire
0/400
ProposalManiac
· Il y a 18h
Utilisez les petits projets avec prudence.
Voir l'originalRépondre0
DefiSecurityGuard
· Il y a 18h
Drapeaux rouges typiques de pot de miel détectés
Voir l'originalRépondre0
ShibaMillionairen't
· Il y a 18h
La fraude de jetons est vraiment difficile à prévenir.
Les actifs des utilisateurs de Solana ont été volés : un paquet NPM malveillant a volé des clés privées via un projet GitHub.
Analyse de cas de vol d'actifs des utilisateurs de Solana : un paquet NPM malveillant vole la clé privée
Le 2 juillet 2025, un utilisateur a demandé de l'aide à l'équipe de sécurité, déclarant que ses actifs cryptographiques avaient été volés après avoir utilisé un projet open source sur GitHub. Ce projet s'appelle solana-pumpfun-bot, hébergé sur la plateforme GitHub.
L'équipe de sécurité a immédiatement commencé son enquête. Elle a d'abord vérifié le dépôt GitHub du projet et a constaté que le nombre d'étoiles et de forks était relativement élevé, mais que les soumissions de code étaient concentrées sur les trois dernières semaines, manquant de mises à jour continues, ce qui a suscité l'inquiétude de l'équipe de sécurité.
Une analyse plus approfondie révèle que ce projet Node.js dépend d'un paquet tiers nommé crypto-layout-utils. Cependant, ce paquet a été retiré par NPM et la version spécifiée n'apparaît pas dans l'historique de NPM.
En vérifiant le fichier package-lock.json, l'équipe a découvert que l'attaquant avait remplacé le lien de téléchargement de crypto-layout-utils par une adresse de publication GitHub. Après avoir téléchargé et analysé ce paquet, il a été constaté qu'il contenait un code malveillant fortement obfusqué.
Après déconfusion, l'équipe de sécurité a confirmé qu'il s'agissait d'un paquet NPM malveillant. Il scanne les fichiers sur l'ordinateur de l'utilisateur et, dès qu'il trouve des contenus liés à des portefeuilles ou à des clés privées, il les télécharge sur un serveur contrôlé par l'attaquant.
L'enquête a également révélé que les attaquants pourraient contrôler plusieurs comptes GitHub, utilisés pour forker des projets malveillants et distribuer des programmes malveillants, tout en augmentant le nombre de forks et d'étoiles des projets, attirant ainsi l'attention de plus d'utilisateurs.
Certains projets Fork ont également utilisé un autre paquet malveillant bs58-encrypt-utils-1.0.3. Ce paquet malveillant a été créé le 12 juin 2025, et on suppose que les attaquants ont commencé à distribuer des paquets NPM malveillants et des projets Node.js depuis cette date.
Grâce à des outils d'analyse on-chain, l'équipe a retracé une adresse d'attaquant qui a transféré des fonds volés vers une certaine plateforme d'échange.
Lors de cette attaque, les attaquants ont déguisé des projets open source légitimes pour inciter les utilisateurs à télécharger et exécuter du code malveillant. Les attaquants ont également augmenté la popularité du projet pour accroître sa crédibilité. Cette attaque combine des techniques d'ingénierie sociale et des moyens techniques, ce qui la rend difficile à défendre complètement.
Il est recommandé aux développeurs et aux utilisateurs de rester très vigilants face aux projets GitHub d'origine inconnue, en particulier lorsqu'il s'agit d'opérations sur des portefeuilles ou des clés privées. En cas de besoin de débogage, il est préférable de le faire dans un environnement indépendant et sans données sensibles.