Користувачі Solana зазнали нової фішингової атаки, шкідливий NPM пакет викрав Закритий ключ, що призвело до втрати активів
На початку липня 2025 року новий тип фішингової атаки на користувачів Solana привернув увагу експертів з безпеки. Один з користувачів, використовуючи відкритий проект на GitHub, виявив, що його криптоактиви були вкрадені. Після розслідування команда безпеки виявила ретельно спланований ланцюг атак, що включає шкідливі пакети NPM та координацію кількох облікових записів GitHub.
Хронологія подій
Жертва 1 липня використала проект GitHub під назвою "solana-pumpfun-bot", а наступного дня виявила крадіжку активів. Команда безпеки відразу розпочала розслідування і виявила кілька підозрілих моментів у цьому проекті:
Кількість Star та Fork проекту аномально висока, але оновлення коду зосереджені на три тижні тому, що вказує на відсутність постійного обслуговування.
У залежностях проєкту міститься підозрілий сторонній пакет з назвою "crypto-layout-utils".
Цей підозрілий пакет був видалений з офіційного NPM, і вказана версія не є в офіційній історії.
Аналіз методів атаки
Глибокий аналіз виявив, що зловмисники використовували такі методи:
У package-lock.json замінено посилання на завантаження підозрілого пакета, що вказує на саморобну версію на GitHub.
Ця версія коду була сильно обфускирована, що ускладнює аналіз.
Після розгортання виявлено, що цей пакет сканує файли комп'ютера користувача, шукаючи вміст, пов'язаний з гаманцем або Закритим ключем, і завантажує його на сервери, контрольовані зловмисником.
Зловмисник міг контролювати кілька облікових записів GitHub для форкування шкідливих проєктів і збільшення популярності, розширюючи сферу поширення.
Рух коштів
За допомогою інструментів аналізу на блокчейні виявлено, що частина викрадених коштів була переведена на певну торгову платформу.
Розширення сфери атаки
Дослідження також виявило, що кілька пов'язаних проектів Fork також мають подібну злочинну діяльність, деякі версії використовували інший шкідливий пакет "bs58-encrypt-utils-1.0.3". Це свідчить про те, що зловмисники почали поширювати шкідливі пакети NPM та проекти Node.js ще в середині червня.
Рекомендації з безпеки
Будьте дуже обережні з проектами на GitHub, джерело яких не відоме, особливо якщо вони пов'язані з гаманцями або Закритими ключами.
Якщо потрібно відлагодити такі проєкти, рекомендується проводити це в ізольованому середовищі без чутливих даних.
Розробники повинні регулярно перевіряти залежності проекту, бути обережними з підозрілими сторонніми пакетами.
Користувач повинен використовувати апаратні гаманці та інші більш безпечні способи зберігання, уникаючи зберігання Закритого ключа у відкритому вигляді на комп'ютері.
Ця подія ще раз нагадує нам, що в децентралізованому світі з відкритим кодом особиста обізнаність щодо безпеки та основні заходи захисту мають вирішальне значення. Зловмисники постійно вдосконалюють свої методи, і нам також потрібно йти в ногу з часом, бути на чеку та захищати свої цифрові активи.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
13 лайків
Нагородити
13
4
Поділіться
Прокоментувати
0/400
MoonRocketman
· 19год тому
RSI тривога! Ще один невдаха потрапив у пастку траєкторії. Добре, що я прорахував ймовірність нахилу координат.
Користувачі Solana стали жертвами нового типу фішингової атаки: зловмисний пакет NPM викрав Закритий ключ, що призвело до втрати активів.
Користувачі Solana зазнали нової фішингової атаки, шкідливий NPM пакет викрав Закритий ключ, що призвело до втрати активів
На початку липня 2025 року новий тип фішингової атаки на користувачів Solana привернув увагу експертів з безпеки. Один з користувачів, використовуючи відкритий проект на GitHub, виявив, що його криптоактиви були вкрадені. Після розслідування команда безпеки виявила ретельно спланований ланцюг атак, що включає шкідливі пакети NPM та координацію кількох облікових записів GitHub.
Хронологія подій
Жертва 1 липня використала проект GitHub під назвою "solana-pumpfun-bot", а наступного дня виявила крадіжку активів. Команда безпеки відразу розпочала розслідування і виявила кілька підозрілих моментів у цьому проекті:
Аналіз методів атаки
Глибокий аналіз виявив, що зловмисники використовували такі методи:
Рух коштів
За допомогою інструментів аналізу на блокчейні виявлено, що частина викрадених коштів була переведена на певну торгову платформу.
Розширення сфери атаки
Дослідження також виявило, що кілька пов'язаних проектів Fork також мають подібну злочинну діяльність, деякі версії використовували інший шкідливий пакет "bs58-encrypt-utils-1.0.3". Це свідчить про те, що зловмисники почали поширювати шкідливі пакети NPM та проекти Node.js ще в середині червня.
Рекомендації з безпеки
Ця подія ще раз нагадує нам, що в децентралізованому світі з відкритим кодом особиста обізнаність щодо безпеки та основні заходи захисту мають вирішальне значення. Зловмисники постійно вдосконалюють свої методи, і нам також потрібно йти в ногу з часом, бути на чеку та захищати свої цифрові активи.