Phân tích trường hợp tài sản người dùng Solana bị đánh cắp: Gói NPM độc hại đánh cắp Khóa riêng
Vào ngày 2 tháng 7 năm 2025, một người dùng đã nhờ sự trợ giúp của đội ngũ an ninh, cho biết tài sản tiền điện tử của họ bị đánh cắp sau khi sử dụng một dự án mã nguồn mở trên GitHub. Dự án này có tên là solana-pumpfun-bot, được lưu trữ trên nền tảng GitHub.
Nhóm an ninh ngay lập tức tiến hành điều tra. Đầu tiên kiểm tra kho GitHub của dự án, phát hiện số lượng Star và Fork cao, nhưng thời gian cập nhật mã chỉ tập trung vào ba tuần trước, thiếu cập nhật liên tục, hiện tượng này đã gây sự chú ý của nhóm an ninh.
Phân tích sâu hơn cho thấy, dự án Node.js này phụ thuộc vào một gói bên thứ ba có tên là crypto-layout-utils. Tuy nhiên, gói này đã bị NPM chính thức gỡ bỏ, và phiên bản được chỉ định không xuất hiện trong lịch sử của NPM.
Bằng cách xem tệp package-lock.json, nhóm đã phát hiện ra rằng kẻ tấn công đã thay thế liên kết tải xuống của crypto-layout-utils bằng một địa chỉ phát hành GitHub. Sau khi tải xuống và phân tích gói này, họ phát hiện ra rằng nó chứa mã độc được làm mờ cao.
Sau khi giải mã, đội ngũ an ninh xác nhận đây là một gói NPM độc hại. Nó sẽ quét các tệp trên máy tính của người dùng, và khi phát hiện nội dung liên quan đến ví hoặc Khóa riêng, nó sẽ tải lên máy chủ do kẻ tấn công kiểm soát.
Cuộc điều tra cũng phát hiện ra rằng kẻ tấn công có thể đã kiểm soát nhiều tài khoản GitHub, sử dụng để Fork các dự án độc hại và phân phối phần mềm độc hại, đồng thời tăng số lượng Fork và Star của dự án, thu hút sự chú ý của nhiều người dùng hơn.
Một số dự án Fork cũng sử dụng một gói độc hại khác là bs58-encrypt-utils-1.0.3. Gói độc hại này được tạo ra vào ngày 12 tháng 6 năm 2025, dự đoán rằng kẻ tấn công đã bắt đầu phân phối gói NPM độc hại và các dự án Node.js từ thời điểm đó.
Thông qua công cụ phân tích trên chuỗi, đội ngũ đã theo dõi được địa chỉ của một kẻ tấn công đã chuyển khoản tiền bị đánh cắp đến một nền tảng giao dịch nào đó.
Trong cuộc tấn công này, kẻ tấn công đã giả mạo các dự án mã nguồn mở hợp pháp, dụ dỗ người dùng tải xuống và chạy mã độc. Kẻ tấn công còn tăng cường độ phổ biến của dự án, tăng độ tin cậy. Cuộc tấn công này kết hợp giữa kỹ thuật xã hội và kỹ thuật công nghệ, khó có thể phòng ngừa hoàn toàn.
Đề nghị các nhà phát triển và người dùng cần giữ sự cảnh giác cao đối với các dự án GitHub không rõ nguồn gốc, đặc biệt là khi liên quan đến việc thao tác ví hoặc Khóa riêng. Nếu cần gỡ lỗi, tốt nhất là thực hiện trong một môi trường độc lập và không có dữ liệu nhạy cảm.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Tài sản của người dùng Solana bị đánh cắp: Gói NPM độc hại thông qua dự án GitHub đánh cắp Khóa riêng
Phân tích trường hợp tài sản người dùng Solana bị đánh cắp: Gói NPM độc hại đánh cắp Khóa riêng
Vào ngày 2 tháng 7 năm 2025, một người dùng đã nhờ sự trợ giúp của đội ngũ an ninh, cho biết tài sản tiền điện tử của họ bị đánh cắp sau khi sử dụng một dự án mã nguồn mở trên GitHub. Dự án này có tên là solana-pumpfun-bot, được lưu trữ trên nền tảng GitHub.
Nhóm an ninh ngay lập tức tiến hành điều tra. Đầu tiên kiểm tra kho GitHub của dự án, phát hiện số lượng Star và Fork cao, nhưng thời gian cập nhật mã chỉ tập trung vào ba tuần trước, thiếu cập nhật liên tục, hiện tượng này đã gây sự chú ý của nhóm an ninh.
Phân tích sâu hơn cho thấy, dự án Node.js này phụ thuộc vào một gói bên thứ ba có tên là crypto-layout-utils. Tuy nhiên, gói này đã bị NPM chính thức gỡ bỏ, và phiên bản được chỉ định không xuất hiện trong lịch sử của NPM.
Bằng cách xem tệp package-lock.json, nhóm đã phát hiện ra rằng kẻ tấn công đã thay thế liên kết tải xuống của crypto-layout-utils bằng một địa chỉ phát hành GitHub. Sau khi tải xuống và phân tích gói này, họ phát hiện ra rằng nó chứa mã độc được làm mờ cao.
Sau khi giải mã, đội ngũ an ninh xác nhận đây là một gói NPM độc hại. Nó sẽ quét các tệp trên máy tính của người dùng, và khi phát hiện nội dung liên quan đến ví hoặc Khóa riêng, nó sẽ tải lên máy chủ do kẻ tấn công kiểm soát.
Cuộc điều tra cũng phát hiện ra rằng kẻ tấn công có thể đã kiểm soát nhiều tài khoản GitHub, sử dụng để Fork các dự án độc hại và phân phối phần mềm độc hại, đồng thời tăng số lượng Fork và Star của dự án, thu hút sự chú ý của nhiều người dùng hơn.
Một số dự án Fork cũng sử dụng một gói độc hại khác là bs58-encrypt-utils-1.0.3. Gói độc hại này được tạo ra vào ngày 12 tháng 6 năm 2025, dự đoán rằng kẻ tấn công đã bắt đầu phân phối gói NPM độc hại và các dự án Node.js từ thời điểm đó.
Thông qua công cụ phân tích trên chuỗi, đội ngũ đã theo dõi được địa chỉ của một kẻ tấn công đã chuyển khoản tiền bị đánh cắp đến một nền tảng giao dịch nào đó.
Trong cuộc tấn công này, kẻ tấn công đã giả mạo các dự án mã nguồn mở hợp pháp, dụ dỗ người dùng tải xuống và chạy mã độc. Kẻ tấn công còn tăng cường độ phổ biến của dự án, tăng độ tin cậy. Cuộc tấn công này kết hợp giữa kỹ thuật xã hội và kỹ thuật công nghệ, khó có thể phòng ngừa hoàn toàn.
Đề nghị các nhà phát triển và người dùng cần giữ sự cảnh giác cao đối với các dự án GitHub không rõ nguồn gốc, đặc biệt là khi liên quan đến việc thao tác ví hoặc Khóa riêng. Nếu cần gỡ lỗi, tốt nhất là thực hiện trong một môi trường độc lập và không có dữ liệu nhạy cảm.