Analyse des incidents de vol de clé privée des utilisateurs de Solana par des paquets NPM malveillants
Début juillet 2025, un utilisateur de Solana a demandé de l'aide à l'équipe de sécurité, affirmant que ses actifs cryptographiques avaient été volés après avoir utilisé un projet open source sur GitHub. Une enquête a révélé qu'il s'agissait d'une attaque exploitant un paquet NPM malveillant pour voler la clé privée de l'utilisateur.
Déroulement de l'événement
La victime a utilisé un projet GitHub nommé solana-pumpfun-bot, qui semble normal, avec un nombre élevé d'étoiles et de forks. Cependant, la mise à jour du code du projet a eu lieu il y a trois semaines, et il manque de caractéristiques de mise à jour continue.
Une analyse plus approfondie a révélé que le projet dépendait d'un package tiers suspect appelé crypto-layout-utils. Ce package a été retiré de l'official NPM, et la version spécifiée n'a pas d'historique. En fait, les attaquants ont modifié le fichier package-lock.json pour rediriger le lien de téléchargement du package vers un dépôt GitHub sous leur contrôle.
Analyse des paquets malveillants
L'équipe de sécurité a téléchargé et analysé le package suspect crypto-layout-utils-1.3.1, et a constaté que son code était hautement obfusqué. Après déobfuscation, il a été confirmé qu'il s'agissait d'un package NPM malveillant, qui scanne les fichiers sensibles sur l'ordinateur de l'utilisateur et télécharge vers le serveur de l'attaquant tout contenu lié aux portefeuilles ou aux clés privées.
Méthodes d'attaque
Des attaquants ont peut-être contrôlé plusieurs comptes GitHub pour distribuer des logiciels malveillants et augmenter la popularité des projets. En se faisant passer pour des projets open source légitimes, ils incitent les utilisateurs à télécharger et exécuter du code Node.js contenant des dépendances malveillantes, afin de voler des Clé privée.
De plus, un autre paquet malveillant nommé bs58-encrypt-utils-1.0.3 a été découvert, et il est supposé que les activités d'attaque pourraient avoir commencé vers la mi-juin 2025.
Destination des fonds
L'analyse on-chain a révélé que des fonds volés avaient été partiellement transférés vers une certaine plateforme d'échange.
Conseils de sécurité
Restez vigilant face aux projets GitHub d'origine inconnue, en particulier ceux impliquant des opérations de portefeuille.
Exécuter et déboguer des projets inconnus dans un environnement isolé si nécessaire.
Les développeurs doivent examiner attentivement les dépendances tierces et se méfier des paquets ou des liens de téléchargement suspects.
Vérifiez régulièrement et mettez à jour les dépendances du projet, et retirez rapidement les composants présentant des vulnérabilités de sécurité.
Utilisez des outils de sécurité fiables pour scanner régulièrement le code du projet et détecter les menaces potentielles dès que possible.
Cet événement démontre une fois de plus que les attaquants innovent constamment dans leurs méthodes pour cibler les écosystèmes open source. Les développeurs et les utilisateurs doivent renforcer leur sensibilisation à la sécurité et travailler ensemble pour maintenir un environnement open source sain.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
12 J'aime
Récompense
12
4
Reposter
Partager
Commentaire
0/400
GateUser-40edb63b
· Il y a 11h
piège formule retrait arnaqué n'est pas nouveau
Voir l'originalRépondre0
MidnightSeller
· Il y a 11h
C'est devenu évident, mon pote.
Voir l'originalRépondre0
PumpStrategist
· Il y a 12h
Le marché avait déjà des signaux, et la leçon donnée gratuitement ne laisse pas de souvenir durable.
Le vol de clé privée réapparaît dans l'écosystème Solana, des paquets NPM malveillants déguisés en projets open source en sont la cause.
Analyse des incidents de vol de clé privée des utilisateurs de Solana par des paquets NPM malveillants
Début juillet 2025, un utilisateur de Solana a demandé de l'aide à l'équipe de sécurité, affirmant que ses actifs cryptographiques avaient été volés après avoir utilisé un projet open source sur GitHub. Une enquête a révélé qu'il s'agissait d'une attaque exploitant un paquet NPM malveillant pour voler la clé privée de l'utilisateur.
Déroulement de l'événement
La victime a utilisé un projet GitHub nommé solana-pumpfun-bot, qui semble normal, avec un nombre élevé d'étoiles et de forks. Cependant, la mise à jour du code du projet a eu lieu il y a trois semaines, et il manque de caractéristiques de mise à jour continue.
Une analyse plus approfondie a révélé que le projet dépendait d'un package tiers suspect appelé crypto-layout-utils. Ce package a été retiré de l'official NPM, et la version spécifiée n'a pas d'historique. En fait, les attaquants ont modifié le fichier package-lock.json pour rediriger le lien de téléchargement du package vers un dépôt GitHub sous leur contrôle.
Analyse des paquets malveillants
L'équipe de sécurité a téléchargé et analysé le package suspect crypto-layout-utils-1.3.1, et a constaté que son code était hautement obfusqué. Après déobfuscation, il a été confirmé qu'il s'agissait d'un package NPM malveillant, qui scanne les fichiers sensibles sur l'ordinateur de l'utilisateur et télécharge vers le serveur de l'attaquant tout contenu lié aux portefeuilles ou aux clés privées.
Méthodes d'attaque
Des attaquants ont peut-être contrôlé plusieurs comptes GitHub pour distribuer des logiciels malveillants et augmenter la popularité des projets. En se faisant passer pour des projets open source légitimes, ils incitent les utilisateurs à télécharger et exécuter du code Node.js contenant des dépendances malveillantes, afin de voler des Clé privée.
De plus, un autre paquet malveillant nommé bs58-encrypt-utils-1.0.3 a été découvert, et il est supposé que les activités d'attaque pourraient avoir commencé vers la mi-juin 2025.
Destination des fonds
L'analyse on-chain a révélé que des fonds volés avaient été partiellement transférés vers une certaine plateforme d'échange.
Conseils de sécurité
Restez vigilant face aux projets GitHub d'origine inconnue, en particulier ceux impliquant des opérations de portefeuille.
Exécuter et déboguer des projets inconnus dans un environnement isolé si nécessaire.
Les développeurs doivent examiner attentivement les dépendances tierces et se méfier des paquets ou des liens de téléchargement suspects.
Vérifiez régulièrement et mettez à jour les dépendances du projet, et retirez rapidement les composants présentant des vulnérabilités de sécurité.
Utilisez des outils de sécurité fiables pour scanner régulièrement le code du projet et détecter les menaces potentielles dès que possible.
Cet événement démontre une fois de plus que les attaquants innovent constamment dans leurs méthodes pour cibler les écosystèmes open source. Les développeurs et les utilisateurs doivent renforcer leur sensibilisation à la sécurité et travailler ensemble pour maintenir un environnement open source sain.