Phân tích sự kiện tài sản của người dùng Solana bị đánh cắp do gói NPM độc hại lấy trộm khóa riêng
Vào ngày 2 tháng 7 năm 2025, một người dùng đã yêu cầu sự trợ giúp từ đội ngũ an ninh để phân tích nguyên nhân tài sản tiền điện tử của họ bị đánh cắp. Sự kiện bắt nguồn từ việc người dùng này đã sử dụng một dự án mã nguồn mở được lưu trữ trên GitHub vào ngày hôm trước.
Đội ngũ an ninh ngay lập tức tiến hành điều tra. Sau khi truy cập kho GitHub của dự án, phát hiện ra rằng mặc dù số lượng Star và Fork của dự án khá cao, nhưng thời gian gửi mã của nó tập trung vào ba tuần trước, thể hiện những đặc điểm bất thường, thiếu đi lộ trình cập nhật liên tục như một dự án bình thường.
Là một dự án dựa trên Node.js, nhóm an ninh trước tiên đã phân tích các gói phụ thuộc của nó. Họ phát hiện ra rằng dự án đã tham chiếu đến một gói bên thứ ba có tên là crypto-layout-utils, gói này đã bị NPM chính thức gỡ bỏ, và phiên bản được chỉ định trong package.json không xuất hiện trong lịch sử chính thức của NPM.
Cuộc điều tra sâu hơn cho thấy, kẻ tấn công đã thay thế liên kết tải xuống của crypto-layout-utils trong tệp package-lock.json bằng địa chỉ kho GitHub mà hắn kiểm soát. Sau khi tải xuống và phân tích gói phụ thuộc nghi ngờ này, phát hiện mã của nó đã được xử lý rất khó hiểu.
Sau khi giải mã, xác nhận rằng đây là một gói NPM độc hại. Kẻ tấn công đã triển khai logic quét tệp máy tính của người dùng trong gói, một khi phát hiện nội dung liên quan đến ví hoặc Khóa riêng, nó sẽ được tải lên máy chủ do kẻ tấn công kiểm soát.
Tác giả dự án dường như kiểm soát một loạt tài khoản GitHub, dùng để Fork các dự án độc hại và phân phối, đồng thời tăng số lượng Fork và Star của dự án, thu hút thêm nhiều người dùng chú ý, mở rộng phạm vi lây lan của phần mềm độc hại.
Đội ngũ an ninh cũng phát hiện ra rằng nhiều dự án Fork tồn tại hành vi độc hại tương tự, một số phiên bản đã sử dụng một gói độc hại khác là bs58-encrypt-utils-1.0.3. Gói độc hại này được tạo ra vào ngày 12 tháng 6 năm 2025, được suy đoán rằng kẻ tấn công đã bắt đầu phân phối các gói NPM độc hại và dự án Node.js từ thời điểm đó.
Thông qua công cụ phân tích trên chuỗi, phát hiện rằng kẻ tấn công đã chuyển số tiền bị đánh cắp đến một nền tảng giao dịch nào đó.
Trong cuộc tấn công này, kẻ tấn công đã ngụy trang thành một dự án mã nguồn mở hợp pháp, dụ dỗ người dùng tải xuống và chạy mã độc. Kẻ tấn công đã tăng cường độ phổ biến của dự án, khiến người dùng vô tình chạy các dự án Node.js có chứa các phụ thuộc độc hại, dẫn đến việc lộ khóa riêng của ví và tài sản bị đánh cắp.
Cuộc tấn công liên quan đến việc nhiều tài khoản GitHub phối hợp hoạt động, mở rộng phạm vi phát tán, nâng cao độ tin cậy, có tính lừa đảo rất mạnh. Loại tấn công này kết hợp giữa kỹ thuật xã hội và các phương pháp kỹ thuật, thậm chí trong nội bộ tổ chức cũng khó có thể phòng ngừa hoàn toàn.
Khuyến nghị các nhà phát triển và người dùng nên giữ cảnh giác cao độ đối với các dự án GitHub không rõ nguồn gốc, đặc biệt là khi liên quan đến ví hoặc khóa riêng. Nếu cần chạy thử nghiệm, nên thực hiện trong môi trường độc lập và không có dữ liệu nhạy cảm.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
16 thích
Phần thưởng
16
6
Chia sẻ
Bình luận
0/400
ForeverBuyingDips
· 17giờ trước
又有大哥 bị chơi đùa với mọi người
Xem bản gốcTrả lời0
MetaMuskRat
· 17giờ trước
đồ ngốc里吃得最多苦头的就是star党了
Xem bản gốcTrả lời0
GateUser-beba108d
· 17giờ trước
又有 đồ ngốc bị chơi đùa với mọi người rồi~
Xem bản gốcTrả lời0
WalletDivorcer
· 17giờ trước
Tiền bị đánh cắp hết, coi như là chơi không.
Xem bản gốcTrả lời0
MiningDisasterSurvivor
· 17giờ trước
又 một đợt đồ ngốc bị chơi đùa với mọi người, giống hệt như cái bẫy năm 2018.
Gói NPM độc hại đánh cắp khóa riêng của người dùng Solana, kẻ tấn công giả mạo dự án mã nguồn mở để thực hiện hành vi trộm cắp.
Phân tích sự kiện tài sản của người dùng Solana bị đánh cắp do gói NPM độc hại lấy trộm khóa riêng
Vào ngày 2 tháng 7 năm 2025, một người dùng đã yêu cầu sự trợ giúp từ đội ngũ an ninh để phân tích nguyên nhân tài sản tiền điện tử của họ bị đánh cắp. Sự kiện bắt nguồn từ việc người dùng này đã sử dụng một dự án mã nguồn mở được lưu trữ trên GitHub vào ngày hôm trước.
Đội ngũ an ninh ngay lập tức tiến hành điều tra. Sau khi truy cập kho GitHub của dự án, phát hiện ra rằng mặc dù số lượng Star và Fork của dự án khá cao, nhưng thời gian gửi mã của nó tập trung vào ba tuần trước, thể hiện những đặc điểm bất thường, thiếu đi lộ trình cập nhật liên tục như một dự án bình thường.
Là một dự án dựa trên Node.js, nhóm an ninh trước tiên đã phân tích các gói phụ thuộc của nó. Họ phát hiện ra rằng dự án đã tham chiếu đến một gói bên thứ ba có tên là crypto-layout-utils, gói này đã bị NPM chính thức gỡ bỏ, và phiên bản được chỉ định trong package.json không xuất hiện trong lịch sử chính thức của NPM.
Cuộc điều tra sâu hơn cho thấy, kẻ tấn công đã thay thế liên kết tải xuống của crypto-layout-utils trong tệp package-lock.json bằng địa chỉ kho GitHub mà hắn kiểm soát. Sau khi tải xuống và phân tích gói phụ thuộc nghi ngờ này, phát hiện mã của nó đã được xử lý rất khó hiểu.
Sau khi giải mã, xác nhận rằng đây là một gói NPM độc hại. Kẻ tấn công đã triển khai logic quét tệp máy tính của người dùng trong gói, một khi phát hiện nội dung liên quan đến ví hoặc Khóa riêng, nó sẽ được tải lên máy chủ do kẻ tấn công kiểm soát.
Tác giả dự án dường như kiểm soát một loạt tài khoản GitHub, dùng để Fork các dự án độc hại và phân phối, đồng thời tăng số lượng Fork và Star của dự án, thu hút thêm nhiều người dùng chú ý, mở rộng phạm vi lây lan của phần mềm độc hại.
Đội ngũ an ninh cũng phát hiện ra rằng nhiều dự án Fork tồn tại hành vi độc hại tương tự, một số phiên bản đã sử dụng một gói độc hại khác là bs58-encrypt-utils-1.0.3. Gói độc hại này được tạo ra vào ngày 12 tháng 6 năm 2025, được suy đoán rằng kẻ tấn công đã bắt đầu phân phối các gói NPM độc hại và dự án Node.js từ thời điểm đó.
Thông qua công cụ phân tích trên chuỗi, phát hiện rằng kẻ tấn công đã chuyển số tiền bị đánh cắp đến một nền tảng giao dịch nào đó.
Trong cuộc tấn công này, kẻ tấn công đã ngụy trang thành một dự án mã nguồn mở hợp pháp, dụ dỗ người dùng tải xuống và chạy mã độc. Kẻ tấn công đã tăng cường độ phổ biến của dự án, khiến người dùng vô tình chạy các dự án Node.js có chứa các phụ thuộc độc hại, dẫn đến việc lộ khóa riêng của ví và tài sản bị đánh cắp.
Cuộc tấn công liên quan đến việc nhiều tài khoản GitHub phối hợp hoạt động, mở rộng phạm vi phát tán, nâng cao độ tin cậy, có tính lừa đảo rất mạnh. Loại tấn công này kết hợp giữa kỹ thuật xã hội và các phương pháp kỹ thuật, thậm chí trong nội bộ tổ chức cũng khó có thể phòng ngừa hoàn toàn.
Khuyến nghị các nhà phát triển và người dùng nên giữ cảnh giác cao độ đối với các dự án GitHub không rõ nguồn gốc, đặc biệt là khi liên quan đến ví hoặc khóa riêng. Nếu cần chạy thử nghiệm, nên thực hiện trong môi trường độc lập và không có dữ liệu nhạy cảm.