Анализ инцидента кражи активов пользователей Solana из-за вредоносного пакета NPM, похищающего Закрытый ключ
2 июля 2025 года пользователь обратился за помощью к команде безопасности для анализа причин кражи своих криптоактивов. Инцидент произошел из-за того, что пользователь накануне использовал проект с открытым исходным кодом, размещенный на GitHub.
Команда безопасности немедленно начала расследование. После доступа к репозиторию проекта на GitHub было обнаружено, что, несмотря на высокое количество звезд и форков, время коммитов кода сосредоточено на три недели назад, что является аномальным признаком, отсутствует обычная траектория постоянного обновления, присущая нормальному проекту.
В качестве проекта на основе Node.js команда безопасности сначала проанализировала его зависимые пакеты. Было обнаружено, что проект ссылается на сторонний пакет под названием crypto-layout-utils, который был удален из официального реестра NPM, и версия, указанная в package.json, не появилась в официальной истории NPM.
Дальнейшее расследование показало, что злоумышленник заменил ссылку для загрузки crypto-layout-utils в файле package-lock.json на адрес своего контролируемого репозитория GitHub. После загрузки и анализа этого подозрительного зависимого пакета было обнаружено, что его код был сильно замаскирован.
После распутывания подтвердилось, что это вредоносный пакет NPM. Злоумышленник реализовал в пакете логику для сканирования файлов на компьютере пользователя, и как только обнаружится содержимое, связанное с кошельком или закрытым ключом, оно будет загружено на сервер, контролируемый злоумышленником.
Автор проекта, похоже, контролирует группу аккаунтов GitHub, которые используются для форка вредоносных проектов и их распространения, одновременно увеличивая количество форков и звезд проекта, чтобы привлечь больше пользователей и расширить распространение вредоносной программы.
Команда безопасности также обнаружила, что несколько проектов Fork имеют аналогичное злонамеренное поведение, некоторые версии использовали другой злонамеренный пакет bs58-encrypt-utils-1.0.3. Этот злонамеренный пакет был создан 12 июня 2025 года, предполагается, что злоумышленник начал распространять злонамеренные NPM-пакеты и проекты Node.js с того времени.
С помощью инструментов анализа блокчейна было обнаружено, что злоумышленник перевел украденные средства на одну из торговых платформ.
В этой атаке злоумышленник выдавал себя за легитимный проект с открытым исходным кодом, вводя пользователей в заблуждение, чтобы они скачали и запустили вредоносный код. Злоумышленник, увеличивая популярность проекта, заставлял пользователей без всякой осторожности запускать Node.js проекты с вредоносными зависимостями, что приводило к утечке закрытого ключа кошелька и краже активов.
Атака включает в себя координированные действия нескольких аккаунтов GitHub, что расширяет область распространения и повышает доверие, обладая высокой степенью обмана. Этот тип атаки сочетает социальную инженерию и технические средства, и даже внутри организации полностью защититься от него сложно.
Рекомендуется разработчикам и пользователям проявлять высокую осторожность к проектам на GitHub с неизвестным источником, особенно когда речь идет о работе с кошельками или Закрытыми ключами. Если вам нужно отлаживать, рекомендуется делать это в изолированной среде без чувствительных данных.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
16 Лайков
Награда
16
6
Поделиться
комментарий
0/400
ForeverBuyingDips
· 13ч назад
Снова большой брат был разыгран как лох.
Посмотреть ОригиналОтветить0
MetaMuskRat
· 13ч назад
неудачники里吃得最多苦头的就是star党了
Посмотреть ОригиналОтветить0
GateUser-beba108d
· 13ч назад
Снова неудачники разыгрываются как лохи~
Посмотреть ОригиналОтветить0
WalletDivorcer
· 13ч назад
Деньги все были украдены, это было впустую.
Посмотреть ОригиналОтветить0
MiningDisasterSurvivor
· 13ч назад
Еще одна волна неудачников разыгрывается людей как лохов, точно так же, как в ловушке 2018 года.
Зловредный NPM пакет крадет закрытые ключи пользователей Solana, злоумышленники маскируются под открытый исходный код для осуществления кражи.
Анализ инцидента кражи активов пользователей Solana из-за вредоносного пакета NPM, похищающего Закрытый ключ
2 июля 2025 года пользователь обратился за помощью к команде безопасности для анализа причин кражи своих криптоактивов. Инцидент произошел из-за того, что пользователь накануне использовал проект с открытым исходным кодом, размещенный на GitHub.
Команда безопасности немедленно начала расследование. После доступа к репозиторию проекта на GitHub было обнаружено, что, несмотря на высокое количество звезд и форков, время коммитов кода сосредоточено на три недели назад, что является аномальным признаком, отсутствует обычная траектория постоянного обновления, присущая нормальному проекту.
В качестве проекта на основе Node.js команда безопасности сначала проанализировала его зависимые пакеты. Было обнаружено, что проект ссылается на сторонний пакет под названием crypto-layout-utils, который был удален из официального реестра NPM, и версия, указанная в package.json, не появилась в официальной истории NPM.
Дальнейшее расследование показало, что злоумышленник заменил ссылку для загрузки crypto-layout-utils в файле package-lock.json на адрес своего контролируемого репозитория GitHub. После загрузки и анализа этого подозрительного зависимого пакета было обнаружено, что его код был сильно замаскирован.
После распутывания подтвердилось, что это вредоносный пакет NPM. Злоумышленник реализовал в пакете логику для сканирования файлов на компьютере пользователя, и как только обнаружится содержимое, связанное с кошельком или закрытым ключом, оно будет загружено на сервер, контролируемый злоумышленником.
Автор проекта, похоже, контролирует группу аккаунтов GitHub, которые используются для форка вредоносных проектов и их распространения, одновременно увеличивая количество форков и звезд проекта, чтобы привлечь больше пользователей и расширить распространение вредоносной программы.
Команда безопасности также обнаружила, что несколько проектов Fork имеют аналогичное злонамеренное поведение, некоторые версии использовали другой злонамеренный пакет bs58-encrypt-utils-1.0.3. Этот злонамеренный пакет был создан 12 июня 2025 года, предполагается, что злоумышленник начал распространять злонамеренные NPM-пакеты и проекты Node.js с того времени.
С помощью инструментов анализа блокчейна было обнаружено, что злоумышленник перевел украденные средства на одну из торговых платформ.
В этой атаке злоумышленник выдавал себя за легитимный проект с открытым исходным кодом, вводя пользователей в заблуждение, чтобы они скачали и запустили вредоносный код. Злоумышленник, увеличивая популярность проекта, заставлял пользователей без всякой осторожности запускать Node.js проекты с вредоносными зависимостями, что приводило к утечке закрытого ключа кошелька и краже активов.
Атака включает в себя координированные действия нескольких аккаунтов GitHub, что расширяет область распространения и повышает доверие, обладая высокой степенью обмана. Этот тип атаки сочетает социальную инженерию и технические средства, и даже внутри организации полностью защититься от него сложно.
Рекомендуется разработчикам и пользователям проявлять высокую осторожность к проектам на GitHub с неизвестным источником, особенно когда речь идет о работе с кошельками или Закрытыми ключами. Если вам нужно отлаживать, рекомендуется делать это в изолированной среде без чувствительных данных.