Análise do incidente de roubo de ativos de usuários da Solana devido a pacotes NPM maliciosos que roubam Chave privada
No dia 2 de julho de 2025, um usuário procurou a equipe de segurança para obter ajuda na análise da causa do roubo de seus ativos criptográficos. O incidente teve origem no fato de o usuário ter utilizado, no dia anterior, um projeto de código aberto hospedado no GitHub.
A equipe de segurança imediatamente iniciou uma investigação. Após acessar o repositório GitHub do projeto, foi descoberto que, embora o número de Stars e Forks do projeto seja alto, o tempo de envio de código está concentrado nas últimas três semanas, apresentando características anormais e faltando a trajetória de atualizações contínuas que um projeto normal deve ter.
Como um projeto baseado em Node.js, a equipe de segurança analisou primeiro os seus pacotes de dependência. Descobriu-se que o projeto referenciava um pacote de terceiros chamado crypto-layout-utils, que foi removido oficialmente do NPM, e a versão especificada no package.json não aparece no histórico oficial do NPM.
Uma investigação adicional revelou que os atacantes substituíram o link de download do crypto-layout-utils no arquivo package-lock.json por um endereço de repositório GitHub que controlam. Após baixar e analisar este pacote de dependência suspeito, descobriu-se que seu código foi altamente ofuscado.
Após a desofuscação, foi confirmado que este é um pacote NPM malicioso. O atacante implementou a lógica para escanear os arquivos do computador do usuário no pacote, e assim que encontrar conteúdo relacionado a carteiras ou Chave privada, ele será enviado para um servidor controlado pelo atacante.
O autor do projeto parece controlar um conjunto de contas do GitHub, usadas para forkear projetos maliciosos e distribuí-los, enquanto aumenta o número de forks e estrelas do projeto, atraindo mais atenção dos usuários e expandindo o alcance da disseminação do malware.
A equipe de segurança também descobriu que vários projetos Fork apresentavam comportamentos maliciosos semelhantes, com algumas versões utilizando outro pacote malicioso bs58-encrypt-utils-1.0.3. Este pacote malicioso foi criado em 12 de junho de 2025, e presume-se que os atacantes começaram a distribuir pacotes NPM maliciosos e projetos Node.js a partir dessa data.
Através de ferramentas de análise na blockchain, foi descoberto que o atacante transferiu os fundos roubados para uma determinada plataforma de negociação.
Nesta ataque, os atacantes disfarçaram-se como um projeto de código aberto legítimo, induzindo os usuários a baixar e executar código malicioso. Os atacantes aumentaram artificialmente a popularidade do projeto, fazendo com que os usuários executassem, sem defesa, um projeto Node.js com dependências maliciosas, resultando na divulgação da chave privada da carteira e no roubo de ativos.
O ataque envolveu a colaboração de várias contas do GitHub, ampliando o alcance da disseminação e aumentando a credibilidade, apresentando um alto grau de engano. Este tipo de ataque combina engenharia social e técnicas tecnológicas, tornando difícil a defesa completa, mesmo dentro da organização.
Recomenda-se que desenvolvedores e usuários mantenham um alto nível de vigilância sobre projetos do GitHub de origem desconhecida, especialmente aqueles que envolvem operações de carteiras ou Chave privada. Se precisar executar depurações, recomenda-se fazê-lo em um ambiente isolado e sem dados sensíveis.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
16 gostos
Recompensa
16
6
Partilhar
Comentar
0/400
ForeverBuyingDips
· 13h atrás
又有大哥被 fazer as pessoas de parvas 了 idiotas
Ver originalResponder0
MetaMuskRat
· 13h atrás
idiotas são os que mais sofrem no star党.
Ver originalResponder0
GateUser-beba108d
· 13h atrás
又有idiotas被fazer as pessoas de parvas咯~
Ver originalResponder0
WalletDivorcer
· 13h atrás
Todo o dinheiro foi roubado, é como se não tivesse jogado.
Ver originalResponder0
MiningDisasterSurvivor
· 13h atrás
Outra onda de idiotas foi feita as pessoas de parvas, igual à armadilha de 2018.
Pacotes NPM maliciosos roubam Chave privada de usuários Solana. Atacantes disfarçam-se de projetos de Código aberto para executar o roubo.
Análise do incidente de roubo de ativos de usuários da Solana devido a pacotes NPM maliciosos que roubam Chave privada
No dia 2 de julho de 2025, um usuário procurou a equipe de segurança para obter ajuda na análise da causa do roubo de seus ativos criptográficos. O incidente teve origem no fato de o usuário ter utilizado, no dia anterior, um projeto de código aberto hospedado no GitHub.
A equipe de segurança imediatamente iniciou uma investigação. Após acessar o repositório GitHub do projeto, foi descoberto que, embora o número de Stars e Forks do projeto seja alto, o tempo de envio de código está concentrado nas últimas três semanas, apresentando características anormais e faltando a trajetória de atualizações contínuas que um projeto normal deve ter.
Como um projeto baseado em Node.js, a equipe de segurança analisou primeiro os seus pacotes de dependência. Descobriu-se que o projeto referenciava um pacote de terceiros chamado crypto-layout-utils, que foi removido oficialmente do NPM, e a versão especificada no package.json não aparece no histórico oficial do NPM.
Uma investigação adicional revelou que os atacantes substituíram o link de download do crypto-layout-utils no arquivo package-lock.json por um endereço de repositório GitHub que controlam. Após baixar e analisar este pacote de dependência suspeito, descobriu-se que seu código foi altamente ofuscado.
Após a desofuscação, foi confirmado que este é um pacote NPM malicioso. O atacante implementou a lógica para escanear os arquivos do computador do usuário no pacote, e assim que encontrar conteúdo relacionado a carteiras ou Chave privada, ele será enviado para um servidor controlado pelo atacante.
O autor do projeto parece controlar um conjunto de contas do GitHub, usadas para forkear projetos maliciosos e distribuí-los, enquanto aumenta o número de forks e estrelas do projeto, atraindo mais atenção dos usuários e expandindo o alcance da disseminação do malware.
A equipe de segurança também descobriu que vários projetos Fork apresentavam comportamentos maliciosos semelhantes, com algumas versões utilizando outro pacote malicioso bs58-encrypt-utils-1.0.3. Este pacote malicioso foi criado em 12 de junho de 2025, e presume-se que os atacantes começaram a distribuir pacotes NPM maliciosos e projetos Node.js a partir dessa data.
Através de ferramentas de análise na blockchain, foi descoberto que o atacante transferiu os fundos roubados para uma determinada plataforma de negociação.
Nesta ataque, os atacantes disfarçaram-se como um projeto de código aberto legítimo, induzindo os usuários a baixar e executar código malicioso. Os atacantes aumentaram artificialmente a popularidade do projeto, fazendo com que os usuários executassem, sem defesa, um projeto Node.js com dependências maliciosas, resultando na divulgação da chave privada da carteira e no roubo de ativos.
O ataque envolveu a colaboração de várias contas do GitHub, ampliando o alcance da disseminação e aumentando a credibilidade, apresentando um alto grau de engano. Este tipo de ataque combina engenharia social e técnicas tecnológicas, tornando difícil a defesa completa, mesmo dentro da organização.
Recomenda-se que desenvolvedores e usuários mantenham um alto nível de vigilância sobre projetos do GitHub de origem desconhecida, especialmente aqueles que envolvem operações de carteiras ou Chave privada. Se precisar executar depurações, recomenda-se fazê-lo em um ambiente isolado e sem dados sensíveis.