Análise de Caso de Roubo de Ativos de Usuários Solana: Pacote NPM Malicioso Rouba Chave Privada
No dia 2 de julho de 2025, um usuário pediu ajuda à equipe de segurança, afirmando que seus ativos criptográficos foram roubados após usar um projeto de código aberto no GitHub. O projeto chama-se solana-pumpfun-bot, hospedado na plataforma GitHub.
A equipe de segurança imediatamente iniciou uma investigação. Primeiro, verificaram o repositório GitHub do projeto e descobriram que o número de Stars e Forks era alto, mas o tempo de envio do código estava concentrado há três semanas, faltando atualizações contínuas, o que despertou a atenção da equipe de segurança.
Uma análise mais aprofundada revelou que este projeto Node.js depende de um pacote de terceiros chamado crypto-layout-utils. No entanto, este pacote foi removido oficialmente do NPM, e a versão especificada não aparece no histórico do NPM.
Ao verificar o arquivo package-lock.json, a equipe descobriu que os atacantes substituíram o link de download do crypto-layout-utils por um endereço de lançamento do GitHub. Após baixar e analisar este pacote, constatou-se que era um código malicioso altamente ofuscado.
Após a desobfuscação, a equipe de segurança confirmou que se trata de um pacote NPM malicioso. Ele irá escanear os arquivos no computador do usuário e, ao encontrar conteúdos relacionados a carteiras ou chaves privadas, fará o upload para um servidor controlado pelo atacante.
A investigação também revelou que os atacantes podem ter controlado várias contas do GitHub, utilizadas para fazer Fork de projetos maliciosos e distribuir programas maliciosos, ao mesmo tempo que aumentam o número de Forks e Stars dos projetos, atraindo mais atenção dos usuários.
Alguns projetos Fork também utilizaram outro pacote malicioso bs58-encrypt-utils-1.0.3. Este pacote malicioso foi criado em 12 de junho de 2025, e suspeita-se que os atacantes começaram a distribuir pacotes NPM maliciosos e projetos Node.js a partir dessa data.
Através de ferramentas de análise on-chain, a equipe rastreou um endereço de atacante que transferiu os fundos roubados para uma determinada plataforma de negociação.
Na presente ataque, os atacantes disfarçaram projetos de código aberto legítimos para induzir os usuários a baixar e executar código malicioso. Os atacantes também aumentaram a popularidade do projeto, aumentando a sua credibilidade. Este tipo de ataque combina engenharia social e técnicas, tornando-se difícil de defender completamente.
Recomenda-se que desenvolvedores e usuários mantenham uma elevada vigilância sobre projetos do GitHub de origem desconhecida, especialmente quando se trata de operações com carteiras ou Chave privada. Se for necessário depurar, é melhor fazê-lo em um ambiente isolado e sem dados sensíveis.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
13 Curtidas
Recompensa
13
3
Compartilhar
Comentário
0/400
ProposalManiac
· 15h atrás
Use projetos pequenos com cautela
Ver originalResponder0
DefiSecurityGuard
· 15h atrás
Sinais de alerta típicos de pote de mel detectados
Os ativos dos usuários da Solana foram roubados: pacotes NPM maliciosos roubaram chaves privadas através de projetos do GitHub.
Análise de Caso de Roubo de Ativos de Usuários Solana: Pacote NPM Malicioso Rouba Chave Privada
No dia 2 de julho de 2025, um usuário pediu ajuda à equipe de segurança, afirmando que seus ativos criptográficos foram roubados após usar um projeto de código aberto no GitHub. O projeto chama-se solana-pumpfun-bot, hospedado na plataforma GitHub.
A equipe de segurança imediatamente iniciou uma investigação. Primeiro, verificaram o repositório GitHub do projeto e descobriram que o número de Stars e Forks era alto, mas o tempo de envio do código estava concentrado há três semanas, faltando atualizações contínuas, o que despertou a atenção da equipe de segurança.
Uma análise mais aprofundada revelou que este projeto Node.js depende de um pacote de terceiros chamado crypto-layout-utils. No entanto, este pacote foi removido oficialmente do NPM, e a versão especificada não aparece no histórico do NPM.
Ao verificar o arquivo package-lock.json, a equipe descobriu que os atacantes substituíram o link de download do crypto-layout-utils por um endereço de lançamento do GitHub. Após baixar e analisar este pacote, constatou-se que era um código malicioso altamente ofuscado.
Após a desobfuscação, a equipe de segurança confirmou que se trata de um pacote NPM malicioso. Ele irá escanear os arquivos no computador do usuário e, ao encontrar conteúdos relacionados a carteiras ou chaves privadas, fará o upload para um servidor controlado pelo atacante.
A investigação também revelou que os atacantes podem ter controlado várias contas do GitHub, utilizadas para fazer Fork de projetos maliciosos e distribuir programas maliciosos, ao mesmo tempo que aumentam o número de Forks e Stars dos projetos, atraindo mais atenção dos usuários.
Alguns projetos Fork também utilizaram outro pacote malicioso bs58-encrypt-utils-1.0.3. Este pacote malicioso foi criado em 12 de junho de 2025, e suspeita-se que os atacantes começaram a distribuir pacotes NPM maliciosos e projetos Node.js a partir dessa data.
Através de ferramentas de análise on-chain, a equipe rastreou um endereço de atacante que transferiu os fundos roubados para uma determinada plataforma de negociação.
Na presente ataque, os atacantes disfarçaram projetos de código aberto legítimos para induzir os usuários a baixar e executar código malicioso. Os atacantes também aumentaram a popularidade do projeto, aumentando a sua credibilidade. Este tipo de ataque combina engenharia social e técnicas, tornando-se difícil de defender completamente.
Recomenda-se que desenvolvedores e usuários mantenham uma elevada vigilância sobre projetos do GitHub de origem desconhecida, especialmente quando se trata de operações com carteiras ou Chave privada. Se for necessário depurar, é melhor fazê-lo em um ambiente isolado e sem dados sensíveis.