Người dùng Solana gặp phải tấn công lừa đảo mới, gói NPM độc hại đánh cắp khóa riêng dẫn đến mất tài sản
Vào đầu tháng 7 năm 2025, một sự kiện tấn công lừa đảo mới nhắm vào người dùng Solana đã thu hút sự chú ý của các chuyên gia an ninh. Một người dùng đã phát hiện tài sản tiền điện tử của mình bị đánh cắp sau khi sử dụng một dự án mã nguồn mở trên GitHub. Sau khi điều tra, đội ngũ an ninh đã tiết lộ một chuỗi tấn công được thiết kế tinh vi, liên quan đến các gói NPM độc hại và sự phối hợp của nhiều tài khoản GitHub.
Diễn biến sự kiện
Nạn nhân đã sử dụng một dự án GitHub có tên "solana-pumpfun-bot" vào ngày 1 tháng 7, và vào ngày hôm sau phát hiện tài sản bị đánh cắp. Đội ngũ an ninh ngay lập tức tiến hành điều tra và phát hiện rằng dự án này có nhiều điểm nghi ngờ:
Số lượng Star và Fork của dự án cao bất thường, nhưng việc cập nhật mã chỉ tập trung vào ba tuần trước, thiếu đặc điểm bảo trì liên tục.
Dự án phụ thuộc vào một gói bên thứ ba đáng ngờ có tên "crypto-layout-utils".
Gói nghi vấn này đã bị NPM chính thức gỡ bỏ, và phiên bản chỉ định không có trong lịch sử chính thức.
Phân tích phương pháp tấn công
Phân tích sâu cho thấy, kẻ tấn công đã sử dụng các biện pháp sau:
Đã thay thế liên kết tải xuống của gói nghi ngờ trong package-lock.json, trỏ đến một phiên bản tự chế trên GitHub.
Phiên bản mã này đã được mã hóa cao, làm tăng độ khó trong việc phân tích.
Sau khi giải mã, phát hiện gói này sẽ quét các tệp tin trên máy tính của người dùng để tìm kiếm nội dung liên quan đến ví hoặc Khóa riêng, và tải lên máy chủ được kiểm soát bởi kẻ tấn công.
Kẻ tấn công có thể đã kiểm soát nhiều tài khoản GitHub, để Fork các dự án độc hại và tăng độ hot, mở rộng phạm vi truyền bá.
Dòng tiền
Thông qua công cụ phân tích trên chuỗi, phát hiện một phần tiền bị đánh cắp đã được chuyển đến một sàn giao dịch nào đó.
Phạm vi tấn công mở rộng
Cuộc điều tra cũng phát hiện ra rằng nhiều dự án Fork liên quan cũng có hành vi độc hại tương tự, một số phiên bản đã sử dụng một gói độc hại khác "bs58-encrypt-utils-1.0.3". Điều này cho thấy kẻ tấn công đã bắt đầu phân phối các gói NPM độc hại và dự án Node.js từ giữa tháng 6.
Lời khuyên về an toàn
Giữ cảnh giác cao đối với các dự án GitHub có nguồn gốc không rõ ràng, đặc biệt là các dự án liên quan đến ví hoặc Khóa riêng.
Nếu cần gỡ lỗi các dự án như vậy, nên thực hiện trong một môi trường độc lập và không có dữ liệu nhạy cảm.
Các nhà phát triển nên thường xuyên kiểm tra các phụ thuộc của dự án, cảnh giác với các gói bên thứ ba đáng ngờ.
Người dùng nên sử dụng ví phần cứng và các phương pháp lưu trữ an toàn hơn, tránh lưu trữ khóa riêng dưới dạng văn bản thuần trên máy tính.
Sự kiện này một lần nữa nhắc nhở chúng ta rằng, trong thế giới mã nguồn mở phi tập trung, nhận thức về an toàn cá nhân và các biện pháp bảo vệ cơ bản là vô cùng quan trọng. Các kẻ tấn công đang không ngừng đổi mới phương pháp, chúng ta cũng cần phải theo kịp thời đại, nâng cao cảnh giác, bảo vệ tốt tài sản kỹ thuật số của mình.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
13 thích
Phần thưởng
13
4
Chia sẻ
Bình luận
0/400
MoonRocketman
· 14giờ trước
Cảnh báo RSI! Một đồ ngốc nữa rơi vào bẫy quỹ đạo. May mắn là tôi đã tính toán xác suất dựa trên độ dốc của tọa độ.
Người dùng Solana gặp phải cuộc tấn công lừa đảo mới, gói NPM độc hại đánh cắp khóa riêng dẫn đến tổn thất tài sản
Người dùng Solana gặp phải tấn công lừa đảo mới, gói NPM độc hại đánh cắp khóa riêng dẫn đến mất tài sản
Vào đầu tháng 7 năm 2025, một sự kiện tấn công lừa đảo mới nhắm vào người dùng Solana đã thu hút sự chú ý của các chuyên gia an ninh. Một người dùng đã phát hiện tài sản tiền điện tử của mình bị đánh cắp sau khi sử dụng một dự án mã nguồn mở trên GitHub. Sau khi điều tra, đội ngũ an ninh đã tiết lộ một chuỗi tấn công được thiết kế tinh vi, liên quan đến các gói NPM độc hại và sự phối hợp của nhiều tài khoản GitHub.
Diễn biến sự kiện
Nạn nhân đã sử dụng một dự án GitHub có tên "solana-pumpfun-bot" vào ngày 1 tháng 7, và vào ngày hôm sau phát hiện tài sản bị đánh cắp. Đội ngũ an ninh ngay lập tức tiến hành điều tra và phát hiện rằng dự án này có nhiều điểm nghi ngờ:
Phân tích phương pháp tấn công
Phân tích sâu cho thấy, kẻ tấn công đã sử dụng các biện pháp sau:
Dòng tiền
Thông qua công cụ phân tích trên chuỗi, phát hiện một phần tiền bị đánh cắp đã được chuyển đến một sàn giao dịch nào đó.
Phạm vi tấn công mở rộng
Cuộc điều tra cũng phát hiện ra rằng nhiều dự án Fork liên quan cũng có hành vi độc hại tương tự, một số phiên bản đã sử dụng một gói độc hại khác "bs58-encrypt-utils-1.0.3". Điều này cho thấy kẻ tấn công đã bắt đầu phân phối các gói NPM độc hại và dự án Node.js từ giữa tháng 6.
Lời khuyên về an toàn
Sự kiện này một lần nữa nhắc nhở chúng ta rằng, trong thế giới mã nguồn mở phi tập trung, nhận thức về an toàn cá nhân và các biện pháp bảo vệ cơ bản là vô cùng quan trọng. Các kẻ tấn công đang không ngừng đổi mới phương pháp, chúng ta cũng cần phải theo kịp thời đại, nâng cao cảnh giác, bảo vệ tốt tài sản kỹ thuật số của mình.