Les utilisateurs de Solana font face à une nouvelle attaque par phishing, des paquets NPM malveillants volent des clés privées entraînant des pertes d'actifs.
Les utilisateurs de Solana victimes d'une nouvelle attaque de phishing, des paquets NPM malveillants volent des clés privées entraînant des pertes d'actifs
Début juillet 2025, un nouvel incident de phishing ciblant les utilisateurs de Solana a attiré l'attention des experts en sécurité. Un utilisateur a découvert que ses actifs cryptographiques avaient été volés après avoir utilisé un projet open source sur GitHub. Après enquête, l'équipe de sécurité a révélé une chaîne d'attaques soigneusement conçue, impliquant des packages NPM malveillants et la coopération de plusieurs comptes GitHub.
Chronologie des événements
La victime a utilisé un projet GitHub nommé "solana-pumpfun-bot" le 1er juillet, et a découvert le lendemain que des actifs avaient été volés. L'équipe de sécurité a immédiatement lancé une enquête et a découvert plusieurs points suspects concernant ce projet :
Le nombre d'étoiles et de forks du projet est anormalement élevé, mais les mises à jour de code sont concentrées il y a trois semaines, ce qui manque de caractéristiques de maintenance continue.
Le projet dépend d'un paquet tiers suspect nommé "crypto-layout-utils".
Ce package suspect a été retiré par NPM et la version spécifiée n'est pas dans les archives officielles.
Analyse des méthodes d'attaque
Une analyse approfondie a révélé que les attaquants ont utilisé les méthodes suivantes :
J'ai remplacé le lien de téléchargement des paquets suspects dans package-lock.json, en le dirigeant vers une version artisanale sur GitHub.
Cette version du code a été fortement obfusquée, augmentant la difficulté d'analyse.
Après déobfuscation, il a été découvert que ce paquet scanne les fichiers de l'ordinateur de l'utilisateur à la recherche de contenu lié aux portefeuilles ou aux clés privées, et les télécharge sur un serveur contrôlé par l'attaquant.
L'attaquant pourrait contrôler plusieurs comptes GitHub pour forker des projets malveillants et augmenter leur popularité, élargissant ainsi leur portée.
Flux de fonds
Grâce à des outils d'analyse en chaîne, il a été découvert qu'une partie des fonds volés avait été transférée vers une certaine plateforme d'échange.
L'étendue de l'attaque s'élargit
L'enquête a également révélé que plusieurs projets Fork connexes présentaient des comportements malveillants similaires, certaines versions utilisant un autre paquet malveillant "bs58-encrypt-utils-1.0.3". Cela indique que les attaquants ont commencé à distribuer des paquets NPM malveillants et des projets Node.js dès la mi-juin.
Conseils de sécurité
Restez très vigilant face aux projets GitHub d'origine inconnue, en particulier ceux impliquant des opérations de portefeuille ou de Clé privée.
Pour déboguer ce type de projet, il est recommandé de le faire dans un environnement isolé et sans données sensibles.
Les développeurs doivent vérifier régulièrement les dépendances du projet et rester vigilants face aux packages tiers suspects.
Les utilisateurs doivent utiliser des méthodes de stockage plus sécurisées, telles que les portefeuilles matériels, pour éviter de stocker la clé privée en texte clair sur l'ordinateur.
Cet événement nous rappelle une fois de plus qu'il est crucial d'avoir une conscience de la sécurité personnelle et des mesures de protection de base dans le monde décentralisé et open source. Les attaquants innovent constamment dans leurs méthodes, et nous devons également nous adapter et rester vigilants pour protéger nos actifs numériques.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
13 J'aime
Récompense
13
4
Partager
Commentaire
0/400
MoonRocketman
· Il y a 10h
Alerte RSI ! Un autre pigeon est tombé dans le piège de l'orbite. Heureusement, j'avais calculé la probabilité de la pente des coordonnées.
Voir l'originalRépondre0
ProxyCollector
· Il y a 10h
J'ai déjà dit de ne pas importer les paquets npm n'importe comment!
Les utilisateurs de Solana font face à une nouvelle attaque par phishing, des paquets NPM malveillants volent des clés privées entraînant des pertes d'actifs.
Les utilisateurs de Solana victimes d'une nouvelle attaque de phishing, des paquets NPM malveillants volent des clés privées entraînant des pertes d'actifs
Début juillet 2025, un nouvel incident de phishing ciblant les utilisateurs de Solana a attiré l'attention des experts en sécurité. Un utilisateur a découvert que ses actifs cryptographiques avaient été volés après avoir utilisé un projet open source sur GitHub. Après enquête, l'équipe de sécurité a révélé une chaîne d'attaques soigneusement conçue, impliquant des packages NPM malveillants et la coopération de plusieurs comptes GitHub.
Chronologie des événements
La victime a utilisé un projet GitHub nommé "solana-pumpfun-bot" le 1er juillet, et a découvert le lendemain que des actifs avaient été volés. L'équipe de sécurité a immédiatement lancé une enquête et a découvert plusieurs points suspects concernant ce projet :
Analyse des méthodes d'attaque
Une analyse approfondie a révélé que les attaquants ont utilisé les méthodes suivantes :
Flux de fonds
Grâce à des outils d'analyse en chaîne, il a été découvert qu'une partie des fonds volés avait été transférée vers une certaine plateforme d'échange.
L'étendue de l'attaque s'élargit
L'enquête a également révélé que plusieurs projets Fork connexes présentaient des comportements malveillants similaires, certaines versions utilisant un autre paquet malveillant "bs58-encrypt-utils-1.0.3". Cela indique que les attaquants ont commencé à distribuer des paquets NPM malveillants et des projets Node.js dès la mi-juin.
Conseils de sécurité
Cet événement nous rappelle une fois de plus qu'il est crucial d'avoir une conscience de la sécurité personnelle et des mesures de protection de base dans le monde décentralisé et open source. Les attaquants innovent constamment dans leurs méthodes, et nous devons également nous adapter et rester vigilants pour protéger nos actifs numériques.