Paquete NPM malicioso roba la llave privada de los usuarios de Solana. Los atacantes se disfrazan de proyectos de código abierto para llevar a cabo el robo.
Análisis del incidente de robo de activos de usuarios de Solana debido a paquetes NPM maliciosos que roban llaves privadas
El 2 de julio de 2025, un usuario solicitó ayuda al equipo de seguridad para analizar la razón por la cual sus activos criptográficos fueron robados. El incidente se originó cuando el usuario utilizó, el día anterior, un proyecto de código abierto alojado en GitHub.
El equipo de seguridad inmediatamente inició una investigación. Al acceder al repositorio de GitHub del proyecto, se descubrió que, a pesar de que el número de Stars y Forks del proyecto es alto, el tiempo de envío de su código se concentra en hace tres semanas, presentando características anormales y careciendo de la trayectoria de actualizaciones continuas que un proyecto normal debería tener.
Como un proyecto basado en Node.js, el equipo de seguridad primero analizó sus paquetes de dependencia. Descubrieron que el proyecto hacía referencia a un paquete de terceros llamado crypto-layout-utils, el cual ha sido retirado por NPM, y la versión especificada en el package.json no aparece en el historial oficial de NPM.
Una investigación adicional reveló que los atacantes reemplazaron el enlace de descarga de crypto-layout-utils en el archivo package-lock.json con una dirección de repositorio de GitHub que controlaban. Al descargar y analizar este paquete de dependencia sospechoso, se descubrió que su código había sido altamente ofuscado.
Después de deshacer la confusión, se confirma que este es un paquete NPM malicioso. El atacante implementó en el paquete la lógica para escanear los archivos del ordenador del usuario, y una vez que se detecta contenido relacionado con billeteras o Llave privada, se sube al servidor controlado por el atacante.
El autor del proyecto parece controlar un grupo de cuentas de GitHub, utilizadas para bifurcar proyectos maliciosos y distribuirlos, al mismo tiempo que aumenta la cantidad de bifurcaciones y estrellas del proyecto, atrayendo más la atención de los usuarios y ampliando el alcance de la propagación del software malicioso.
El equipo de seguridad también descubrió que varios proyectos Fork presentaban comportamientos maliciosos similares, y algunas versiones utilizaban otro paquete malicioso bs58-encrypt-utils-1.0.3. Este paquete malicioso fue creado el 12 de junio de 2025, y se supone que los atacantes comenzaron a distribuir paquetes NPM maliciosos y proyectos de Node.js desde entonces.
A través de herramientas de análisis en cadena se descubrió que el atacante transfirió los fondos robados a una plataforma de intercambio.
En este ataque, los atacantes se disfrazaron de un proyecto de código abierto legítimo, engañando a los usuarios para que descargaran y ejecutaran código malicioso. Los atacantes aumentaron artificialmente la popularidad del proyecto, lo que llevó a los usuarios a ejecutar un proyecto de Node.js con dependencias maliciosas sin ninguna defensa, lo que provocó la filtración de la llave privada de la billetera y el robo de activos.
El ataque involucró la colaboración de múltiples cuentas de GitHub, ampliando el alcance de la propagación y aumentando la credibilidad, lo que lo hace extremadamente engañoso. Este tipo de ataque combina ingeniería social y técnicas, siendo difícil de defenderse completamente incluso dentro de la organización.
Se recomienda a los desarrolladores y usuarios que mantengan una alta vigilancia sobre los proyectos de GitHub de origen desconocido, especialmente aquellos que implican operaciones de billetera o Llave privada. Si es necesario realizar depuración, se sugiere hacerlo en un entorno independiente y sin datos sensibles.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
16 me gusta
Recompensa
16
6
Compartir
Comentar
0/400
ForeverBuyingDips
· hace13h
Otro hermano ha sido tomado a la gente por tonta.
Ver originalesResponder0
MetaMuskRat
· hace13h
tontos里吃得最多苦头的就是star党了
Ver originalesResponder0
GateUser-beba108d
· hace13h
又有 tontos 被 tomar a la gente por tonta ~
Ver originalesResponder0
WalletDivorcer
· hace13h
Todo el dinero fue robado, es como si no hubiera servido de nada.
Ver originalesResponder0
MiningDisasterSurvivor
· hace13h
Otra ola de tontos ha sido tomada a la gente por tonta, igual que la trampa de 2018.
Paquete NPM malicioso roba la llave privada de los usuarios de Solana. Los atacantes se disfrazan de proyectos de código abierto para llevar a cabo el robo.
Análisis del incidente de robo de activos de usuarios de Solana debido a paquetes NPM maliciosos que roban llaves privadas
El 2 de julio de 2025, un usuario solicitó ayuda al equipo de seguridad para analizar la razón por la cual sus activos criptográficos fueron robados. El incidente se originó cuando el usuario utilizó, el día anterior, un proyecto de código abierto alojado en GitHub.
El equipo de seguridad inmediatamente inició una investigación. Al acceder al repositorio de GitHub del proyecto, se descubrió que, a pesar de que el número de Stars y Forks del proyecto es alto, el tiempo de envío de su código se concentra en hace tres semanas, presentando características anormales y careciendo de la trayectoria de actualizaciones continuas que un proyecto normal debería tener.
Como un proyecto basado en Node.js, el equipo de seguridad primero analizó sus paquetes de dependencia. Descubrieron que el proyecto hacía referencia a un paquete de terceros llamado crypto-layout-utils, el cual ha sido retirado por NPM, y la versión especificada en el package.json no aparece en el historial oficial de NPM.
Una investigación adicional reveló que los atacantes reemplazaron el enlace de descarga de crypto-layout-utils en el archivo package-lock.json con una dirección de repositorio de GitHub que controlaban. Al descargar y analizar este paquete de dependencia sospechoso, se descubrió que su código había sido altamente ofuscado.
Después de deshacer la confusión, se confirma que este es un paquete NPM malicioso. El atacante implementó en el paquete la lógica para escanear los archivos del ordenador del usuario, y una vez que se detecta contenido relacionado con billeteras o Llave privada, se sube al servidor controlado por el atacante.
El autor del proyecto parece controlar un grupo de cuentas de GitHub, utilizadas para bifurcar proyectos maliciosos y distribuirlos, al mismo tiempo que aumenta la cantidad de bifurcaciones y estrellas del proyecto, atrayendo más la atención de los usuarios y ampliando el alcance de la propagación del software malicioso.
El equipo de seguridad también descubrió que varios proyectos Fork presentaban comportamientos maliciosos similares, y algunas versiones utilizaban otro paquete malicioso bs58-encrypt-utils-1.0.3. Este paquete malicioso fue creado el 12 de junio de 2025, y se supone que los atacantes comenzaron a distribuir paquetes NPM maliciosos y proyectos de Node.js desde entonces.
A través de herramientas de análisis en cadena se descubrió que el atacante transfirió los fondos robados a una plataforma de intercambio.
En este ataque, los atacantes se disfrazaron de un proyecto de código abierto legítimo, engañando a los usuarios para que descargaran y ejecutaran código malicioso. Los atacantes aumentaron artificialmente la popularidad del proyecto, lo que llevó a los usuarios a ejecutar un proyecto de Node.js con dependencias maliciosas sin ninguna defensa, lo que provocó la filtración de la llave privada de la billetera y el robo de activos.
El ataque involucró la colaboración de múltiples cuentas de GitHub, ampliando el alcance de la propagación y aumentando la credibilidad, lo que lo hace extremadamente engañoso. Este tipo de ataque combina ingeniería social y técnicas, siendo difícil de defenderse completamente incluso dentro de la organización.
Se recomienda a los desarrolladores y usuarios que mantengan una alta vigilancia sobre los proyectos de GitHub de origen desconocido, especialmente aquellos que implican operaciones de billetera o Llave privada. Si es necesario realizar depuración, se sugiere hacerlo en un entorno independiente y sin datos sensibles.