Аналіз випадку крадіжки активів користувачів Solana: зловмисний пакет NPM викрав Закритий ключ
2 липня 2025 року користувач звернувся до команди безпеки з проханням про допомогу, стверджуючи, що його криптоактиви були вкрадені після використання відкритого проекту на GitHub. Цей проект називається solana-pumpfun-bot і розміщений на платформі GitHub.
Команда безпеки негайно розпочала розслідування. Спочатку було перевірено репозиторій проекту на GitHub, де виявлено, що кількість зірок і форків досить велика, але часи внесення змін зосереджені на три тижні тому, що свідчить про відсутність постійного оновлення. Цей факт викликав занепокоєння у команди безпеки.
Додатковий аналіз показує, що цей проект Node.js залежить від стороннього пакету під назвою crypto-layout-utils. Однак цей пакет був вилучений з NPM офіційно, і вказана версія не з'явилася в історії NPM.
Переглядаючи файл package-lock.json, команда виявила, що зловмисник замінив посилання для завантаження crypto-layout-utils на адресу релізу GitHub. Завантаживши та проаналізувавши цей пакет, було виявлено, що це високо заплутаний шкідливий код.
Після розв'язання неоднозначностей, команда безпеки підтвердила, що це шкідливий пакет NPM. Він сканує файли на комп'ютері користувача, і коли знаходить вміст, пов'язаний з гаманцем або Закритим ключем, він завантажує його на сервер, контрольований зловмисником.
Дослідження також виявило, що зловмисники, можливо, контролюють кілька облікових записів GitHub, щоб виконувати Fork зловмисних проектів і поширювати зловмисні програми, одночасно збільшуючи кількість Fork і Star проектів, що привертає більше уваги користувачів.
У деяких проектах Fork також використовувався ще один шкідливий пакет bs58-encrypt-utils-1.0.3. Цей шкідливий пакет був створений 12 червня 2025 року, і, ймовірно, з того часу зловмисники почали розповсюджувати шкідливі пакети NPM та проекти Node.js.
За допомогою інструментів аналізу в ланцюгу команда відстежила адресу зловмисника, яка перевела вкрадені кошти на певну торгову платформу.
У цьому нападі зловмисники маскувались під легітимні проєкти з відкритим кодом, спонукаючи користувачів завантажувати та виконувати шкідливий код. Зловмисники також підвищували популярність проєкту, збільшуючи його довіру. Цей вид атаки поєднує соціальну інженерію та технічні методи, що ускладнює повну оборону.
Рекомендується розробникам і користувачам бути особливо обережними з незнайомими проектами на GitHub, особливо коли йдеться про операції з гаманцями або Закритий ключ. Якщо потрібно налагоджувати, краще це робити в окремому середовищі без чутливих даних.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Крадіжка активів користувачів Solana: зловмисний пакет NPM краде Закритий ключ через проект GitHub
Аналіз випадку крадіжки активів користувачів Solana: зловмисний пакет NPM викрав Закритий ключ
2 липня 2025 року користувач звернувся до команди безпеки з проханням про допомогу, стверджуючи, що його криптоактиви були вкрадені після використання відкритого проекту на GitHub. Цей проект називається solana-pumpfun-bot і розміщений на платформі GitHub.
Команда безпеки негайно розпочала розслідування. Спочатку було перевірено репозиторій проекту на GitHub, де виявлено, що кількість зірок і форків досить велика, але часи внесення змін зосереджені на три тижні тому, що свідчить про відсутність постійного оновлення. Цей факт викликав занепокоєння у команди безпеки.
Додатковий аналіз показує, що цей проект Node.js залежить від стороннього пакету під назвою crypto-layout-utils. Однак цей пакет був вилучений з NPM офіційно, і вказана версія не з'явилася в історії NPM.
Переглядаючи файл package-lock.json, команда виявила, що зловмисник замінив посилання для завантаження crypto-layout-utils на адресу релізу GitHub. Завантаживши та проаналізувавши цей пакет, було виявлено, що це високо заплутаний шкідливий код.
Після розв'язання неоднозначностей, команда безпеки підтвердила, що це шкідливий пакет NPM. Він сканує файли на комп'ютері користувача, і коли знаходить вміст, пов'язаний з гаманцем або Закритим ключем, він завантажує його на сервер, контрольований зловмисником.
Дослідження також виявило, що зловмисники, можливо, контролюють кілька облікових записів GitHub, щоб виконувати Fork зловмисних проектів і поширювати зловмисні програми, одночасно збільшуючи кількість Fork і Star проектів, що привертає більше уваги користувачів.
У деяких проектах Fork також використовувався ще один шкідливий пакет bs58-encrypt-utils-1.0.3. Цей шкідливий пакет був створений 12 червня 2025 року, і, ймовірно, з того часу зловмисники почали розповсюджувати шкідливі пакети NPM та проекти Node.js.
За допомогою інструментів аналізу в ланцюгу команда відстежила адресу зловмисника, яка перевела вкрадені кошти на певну торгову платформу.
У цьому нападі зловмисники маскувались під легітимні проєкти з відкритим кодом, спонукаючи користувачів завантажувати та виконувати шкідливий код. Зловмисники також підвищували популярність проєкту, збільшуючи його довіру. Цей вид атаки поєднує соціальну інженерію та технічні методи, що ускладнює повну оборону.
Рекомендується розробникам і користувачам бути особливо обережними з незнайомими проектами на GitHub, особливо коли йдеться про операції з гаманцями або Закритий ключ. Якщо потрібно налагоджувати, краще це робити в окремому середовищі без чутливих даних.