Analyse de l'incident d'attaque par des paquets malveillants NPM sur l'écosystème Solana

Début juillet 2025, un incident de sécurité causé par un package NPM malveillant s'est produit dans l'écosystème Solana, entraînant le vol d'actifs de plusieurs utilisateurs. Cet article analysera en détail le déroulement de cet événement.

Causes de l'événement

L'événement provient d'un projet open source "solana-pumpfun-bot" hébergé sur GitHub. Ce projet semble être un robot de trading pour l'écosystème Solana, mais contient en réalité du code malveillant. Un utilisateur, après avoir utilisé ce projet, a découvert que ses actifs cryptographiques avaient été transférés sans raison, et a immédiatement sollicité l'aide de l'équipe de sécurité.

Analyse technique

Les chercheurs en sécurité ont mené une enquête approfondie sur le projet et ont identifié les problèmes clés suivants :

1. Anomalie du projet : Ce dépôt GitHub a un nombre élevé d'étoiles et de forks, mais les enregistrements de soumission de code sont concentrés sur une courte période, manquant de caractéristiques de mise à jour continue.

2. Dépendance malveillante : le projet a référencé un paquet tiers suspect nommé "crypto-layout-utils". Ce paquet a été retiré par NPM et le numéro de version n'existe pas dans l'historique de NPM.

3. Lien de téléchargement du package remplacé : dans le fichier package-lock.json, le lien de téléchargement de "crypto-layout-utils" a été remplacé par un lien de release GitHub.

4. Obfuscation du code : le paquet suspect téléchargé a été fortement obfusqué avec jsjiami.com.v7, ce qui augmente la difficulté d'analyse.

5. Comportement malveillant : Après désobfuscation, les chercheurs ont découvert que le package scanne les fichiers sensibles sur l'ordinateur de l'utilisateur, et s'il trouve des contenus liés aux portefeuilles ou aux clés privées, il les télécharge sur un serveur contrôlé par l'attaquant.

6. Élargissement de la portée de l'attaque : les attaquants auraient apparemment contrôlé plusieurs comptes GitHub, utilisés pour forker des projets malveillants et augmenter le nombre d'étoiles, afin d'attirer plus d'utilisateurs.

7. Plusieurs versions malveillantes : Des recherches ont révélé l'existence d'un autre paquet malveillant "bs58-encrypt-utils", suggérant que les activités d'attaque pourraient avoir commencé à partir de la mi-juin 2025.

8. Flux de fonds : grâce aux outils d'analyse sur la chaîne, une partie des fonds volés a été transférée sur une plateforme d'échange.

Résumé des techniques d'attaque

Des attaquants se déguisent en projets open source légitimes pour inciter les utilisateurs à télécharger et exécuter des projets Node.js contenant des dépendances malveillantes. Les attaquants utilisent également plusieurs comptes GitHub pour collaborer, augmentant ainsi la crédibilité et la portée de leurs projets. Cette méthode d'attaque combinant ingénierie sociale et techniques est extrêmement trompeuse et difficile à prévenir.

Conseils de sécurité

1. Soyez prudent avec les projets GitHub d'origine inconnue, en particulier ceux qui impliquent des opérations de portefeuille ou de clé privée.

2. Lors de l'exécution et du débogage de projets inconnus, il est conseillé d'utiliser un environnement indépendant et ne contenant pas de données sensibles.

3. Vérifiez régulièrement les dépendances du projet et suivez les annonces de sécurité des plateformes de gestion de packages comme NPM.

4. Utiliser des outils et des services de sécurité fiables pour détecter rapidement les menaces potentielles.

5. Renforcer la formation à la sécurité pour les équipes de développement et améliorer la vigilance.

Cet événement nous rappelle une fois de plus que la sécurité est toujours une priorité dans l'écosystème Web3. Les développeurs et les utilisateurs doivent rester vigilants et collaborer pour maintenir la sécurité de l'écosystème.