Análisis del incidente de ataque de paquetes maliciosos de NPM en el ecosistema de Solana

A principios de julio de 2025, ocurrió un incidente de seguridad en el ecosistema de Solana provocado por un paquete NPM malicioso, lo que resultó en el robo de activos de varios usuarios. Este artículo analizará en detalle el desarrollo de este evento.

Causa del evento

El evento se originó en un proyecto de código abierto "solana-pumpfun-bot" alojado en GitHub. Este proyecto es superficialmente un bot de trading del ecosistema Solana, pero en realidad contiene código malicioso. Un usuario, tras utilizar este proyecto, descubrió que sus activos criptográficos habían sido transferidos misteriosamente, y de inmediato buscó ayuda del equipo de seguridad.

Análisis técnico

Los investigadores de seguridad realizaron una investigación profunda sobre el proyecto y descubrieron los siguientes problemas clave:

1. Anomalía del proyecto: Este repositorio de GitHub tiene un alto número de Stars y Forks, pero el historial de commits de código se concentra en un corto período de tiempo, careciendo de características de actualización continua.

2. Dependencia maliciosa: el proyecto hace referencia a un paquete de terceros sospechoso llamado "crypto-layout-utils". Este paquete ha sido retirado oficialmente de NPM y el número de versión no existe en el historial de NPM.

3. El enlace de descarga del paquete ha sido reemplazado: en el archivo package-lock.json, el enlace de descarga de "crypto-layout-utils" ha sido reemplazado por un enlace de lanzamiento de GitHub.

4. Ofuscación de código: el paquete sospechoso descargado ha sido altamente ofuscado utilizando jsjiami.com.v7, lo que aumenta la dificultad de análisis.

5. Comportamiento malicioso: Después de la desofuscación, los investigadores descubrieron que el paquete escanea archivos sensibles en la computadora del usuario, y si encuentra contenido relacionado con billeteras o claves privadas, lo sube a un servidor controlado por el atacante.

6. Ampliación del alcance del ataque: se sospecha que el atacante controla múltiples cuentas de GitHub para bifurcar proyectos maliciosos y aumentar el número de estrellas, con el fin de atraer a más usuarios.

7. Múltiples versiones maliciosas: Se ha descubierto otro paquete malicioso "bs58-encrypt-utils", y se presume que la actividad de ataque podría haber comenzado a mediados de junio de 2025.

8. Flujo de fondos: A través de herramientas de análisis en la cadena, se rastrea que parte de los fondos robados se han transferido a una plataforma de intercambio.

Resumen de técnicas de ataque

Los atacantes se disfrazan como proyectos de código abierto legítimos, induciendo a los usuarios a descargar y ejecutar proyectos de Node.js que contienen dependencias maliciosas. Los atacantes también utilizan múltiples cuentas de GitHub para colaborar, aumentando la credibilidad y el alcance de la difusión del proyecto. Este enfoque de ataque que combina ingeniería social y técnicas tecnológicas es altamente engañoso y difícil de prevenir.

Consejos de seguridad

1. Maneja con precaución los proyectos de GitHub de origen desconocido, especialmente aquellos que implican operaciones con wallets o claves privadas.

2. Al ejecutar y depurar proyectos desconocidos, se recomienda utilizar un entorno independiente y que no contenga datos sensibles.

3. Revisar periódicamente las dependencias del proyecto y estar atento a los anuncios de seguridad de plataformas de gestión de paquetes como NPM.

4. Utiliza herramientas y servicios de seguridad confiables para detectar amenazas potenciales de manera oportuna.

5. Fortalecer la capacitación en concienciación sobre seguridad del equipo de desarrollo y aumentar la vigilancia.

Este evento nos recuerda una vez más que la seguridad siempre es primordial en el ecosistema Web3. Tanto los desarrolladores como los usuarios deben mantenerse alerta y trabajar juntos para mantener la seguridad del ecosistema.