Аналіз інциденту, в якому зловмисний пакет NPM викрав Закритий ключи та призвів до втрати активів користувачів Solana
2 липня 2025 року користувач звернувся до команди безпеки з проханням допомогти проаналізувати причини крадіжки його криптоактивів. Інцидент стався після того, як користувач використав відкритий проект, розміщений на GitHub, напередодні.
Команда безпеки одразу ж розпочала розслідування. Відвідавши GitHub-репозиторій проєкту, було виявлено, що, незважаючи на високу кількість Star та Fork, часи комітів коду зосереджені на три тижні тому, що вказує на аномальні характеристики та відсутність постійної оновлювальної траєкторії, яку повинні мати нормальні проєкти.
Як проект на базі Node.js, команда безпеки спочатку проаналізувала його залежності. Було виявлено, що проект використовує сторонній пакет під назвою crypto-layout-utils, який був видалений з NPM, і версія, зазначена в package.json, не з'являється в офіційній історії NPM.
Додаткове розслідування виявило, що зловмисники замінили посилання на завантаження crypto-layout-utils у файлі package-lock.json на адресу свого контролюючого репозиторію GitHub. Завантаживши та проаналізувавши цей підозрілий пакет залежностей, було виявлено, що його код пройшов високу ступінь обфускації.
Після розплутування підтверджено, що це шкідливий пакет NPM. Зловмисник реалізував у пакеті логіку сканування файлів комп'ютера користувача, і якщо буде виявлено вміст, пов'язаний з гаманцем або Закритим ключем, він буде завантажено на сервер, контрольований зловмисником.
Автори проекту, здається, контролюють групу акаунтів GitHub, які використовуються для форкування шкідливих проектів і їх розповсюдження, одночасно підвищуючи кількість форків і зірок проекту, залучаючи більше користувачів і розширюючи межі поширення шкідливої програми.
Команда безпеки також виявила, що кілька проектів Fork мають подібну зловмисну поведінку; деякі версії використовували інший зловмисний пакет bs58-encrypt-utils-1.0.3. Цей зловмисний пакет було створено 12 червня 2025 року, і, ймовірно, зловмисник почав поширювати шкідливі пакети NPM та проекти Node.js з того часу.
За допомогою інструментів аналізу на ланцюгу виявлено, що зловмисник перевів вкрадені кошти на певну торгову платформу.
У цій атаці зловмисники маскувалися під легітимний відкритий проект, спокушаючи користувачів завантажувати та виконувати шкідливий код. Зловмисники підвищували популярність проекту, змушуючи користувачів без підозр виконувати Node.js проекти з шкідливими залежностями, що призводило до витоку закритого ключа гаманця та крадіжки активів.
Атака включала в себе координацію дій кількох облікових записів GitHub, що розширило сферу поширення та підвищило довіру, маючи дуже високий рівень обману. Цей тип атаки поєднує соціальну інженерію та технічні засоби, і навіть всередині організації важко повністю захиститися.
Рекомендується, щоб розробники та користувачі були надзвичайно обережними з проектами на GitHub, джерело яких невідоме, особливо коли йдеться про операції з гаманцями або Закритими ключами. Якщо потрібно виконати налагодження, рекомендується робити це в ізольованому середовищі, без чутливих даних.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
16 лайків
Нагородити
16
6
Поділіться
Прокоментувати
0/400
ForeverBuyingDips
· 13год тому
Знову якийсь брат обдурював людей, як лохів.
Переглянути оригіналвідповісти на0
MetaMuskRat
· 13год тому
Серед цибулі-порею найбільше страждає зіркова партія
Переглянути оригіналвідповісти на0
GateUser-beba108d
· 13год тому
Знову невдахи обдурюють~
Переглянути оригіналвідповісти на0
WalletDivorcer
· 13год тому
Гроші всі вкрали, це як грати надаремно
Переглянути оригіналвідповісти на0
MiningDisasterSurvivor
· 13год тому
Ще одна хвиля невдах обдурювана, як лохів, точнісінько як у пастці 2018 року.
Зловмисний пакет NPM краде закриті ключі користувачів Solana, зловмисники маскуються під відкрите вихідний код проекту для здійснення крадіжки.
Аналіз інциденту, в якому зловмисний пакет NPM викрав Закритий ключи та призвів до втрати активів користувачів Solana
2 липня 2025 року користувач звернувся до команди безпеки з проханням допомогти проаналізувати причини крадіжки його криптоактивів. Інцидент стався після того, як користувач використав відкритий проект, розміщений на GitHub, напередодні.
Команда безпеки одразу ж розпочала розслідування. Відвідавши GitHub-репозиторій проєкту, було виявлено, що, незважаючи на високу кількість Star та Fork, часи комітів коду зосереджені на три тижні тому, що вказує на аномальні характеристики та відсутність постійної оновлювальної траєкторії, яку повинні мати нормальні проєкти.
Як проект на базі Node.js, команда безпеки спочатку проаналізувала його залежності. Було виявлено, що проект використовує сторонній пакет під назвою crypto-layout-utils, який був видалений з NPM, і версія, зазначена в package.json, не з'являється в офіційній історії NPM.
Додаткове розслідування виявило, що зловмисники замінили посилання на завантаження crypto-layout-utils у файлі package-lock.json на адресу свого контролюючого репозиторію GitHub. Завантаживши та проаналізувавши цей підозрілий пакет залежностей, було виявлено, що його код пройшов високу ступінь обфускації.
Після розплутування підтверджено, що це шкідливий пакет NPM. Зловмисник реалізував у пакеті логіку сканування файлів комп'ютера користувача, і якщо буде виявлено вміст, пов'язаний з гаманцем або Закритим ключем, він буде завантажено на сервер, контрольований зловмисником.
Автори проекту, здається, контролюють групу акаунтів GitHub, які використовуються для форкування шкідливих проектів і їх розповсюдження, одночасно підвищуючи кількість форків і зірок проекту, залучаючи більше користувачів і розширюючи межі поширення шкідливої програми.
Команда безпеки також виявила, що кілька проектів Fork мають подібну зловмисну поведінку; деякі версії використовували інший зловмисний пакет bs58-encrypt-utils-1.0.3. Цей зловмисний пакет було створено 12 червня 2025 року, і, ймовірно, зловмисник почав поширювати шкідливі пакети NPM та проекти Node.js з того часу.
За допомогою інструментів аналізу на ланцюгу виявлено, що зловмисник перевів вкрадені кошти на певну торгову платформу.
У цій атаці зловмисники маскувалися під легітимний відкритий проект, спокушаючи користувачів завантажувати та виконувати шкідливий код. Зловмисники підвищували популярність проекту, змушуючи користувачів без підозр виконувати Node.js проекти з шкідливими залежностями, що призводило до витоку закритого ключа гаманця та крадіжки активів.
Атака включала в себе координацію дій кількох облікових записів GitHub, що розширило сферу поширення та підвищило довіру, маючи дуже високий рівень обману. Цей тип атаки поєднує соціальну інженерію та технічні засоби, і навіть всередині організації важко повністю захиститися.
Рекомендується, щоб розробники та користувачі були надзвичайно обережними з проектами на GitHub, джерело яких невідоме, особливо коли йдеться про операції з гаманцями або Закритими ключами. Якщо потрібно виконати налагодження, рекомендується робити це в ізольованому середовищі, без чутливих даних.