Análise do incidente de ataque de pacotes maliciosos NPM no ecossistema Solana

No início de julho de 2025, ocorreu um incidente de segurança no ecossistema Solana provocado por um pacote NPM malicioso, resultando no roubo de ativos de vários usuários. Este artigo fará uma análise detalhada da origem e desdobramentos deste evento.

Causa do Evento

O evento originou-se de um projeto open-source hospedado no GitHub chamado "solana-pumpfun-bot". Este projeto é aparentemente um robô de comércio do ecossistema Solana, mas na verdade contém código malicioso. Um usuário, ao utilizar este projeto, descobriu que os seus ativos criptográficos foram misteriosamente transferidos, e imediatamente procurou ajuda da equipe de segurança.

Análise Técnica

Pesquisadores de segurança realizaram uma investigação aprofundada sobre o projeto e descobriram os seguintes problemas-chave:

1. Anomalia do projeto: O número de Stars e Forks deste repositório do GitHub é bastante elevado, mas o histórico de commits está concentrado em um curto período, carecendo de características de atualizações contínuas.

2. Dependência maliciosa: o projeto faz referência a um pacote de terceiros suspeito chamado "crypto-layout-utils". Este pacote foi removido oficialmente do NPM e a versão não existe no histórico do NPM.

3. O link de download do pacote foi substituído: no arquivo package-lock.json, o link de download de "crypto-layout-utils" foi substituído por um link de release do GitHub.

4. Ofuscação de código: o pacote suspeito baixado foi altamente ofuscado com jsjiami.com.v7, aumentando a dificuldade de análise.

5. Comportamento malicioso: Após a desofuscação, os pesquisadores descobriram que o pacote escaneia arquivos sensíveis no computador do usuário, e se encontrar conteúdo relacionado a carteiras ou chaves privadas, faz o upload para um servidor controlado pelo atacante.

6. Aumentar o alcance do ataque: O atacante suspeitamente controlou várias contas do GitHub para fazer Fork de projetos maliciosos e aumentar o número de Stars, a fim de atrair mais usuários.

7. Vários versões maliciosas: Pesquisas descobriram a existência de outro pacote malicioso "bs58-encrypt-utils", e suspeita-se que a atividade de ataque pode ter começado já em meados de junho de 2025.

8. Fluxo de fundos: através de ferramentas de análise em cadeia, parte dos fundos roubados foi transferida para uma determinada plataforma de negociação.

Resumo das técnicas de ataque

Os atacantes disfarçam-se como projetos de código aberto legítimos, induzindo os usuários a baixar e executar projetos Node.js que contêm dependências maliciosas. Os atacantes também utilizam várias contas do GitHub para operar em conjunto, aumentando a credibilidade e o alcance do projeto. Este método de ataque, que combina engenharia social e técnicas técnicas, é extremamente enganoso e difícil de prevenir.

Sugestões de Segurança

1. Tenha cuidado com projetos do GitHub de origem desconhecida, especialmente aqueles que envolvem operações com carteiras ou chaves privadas.

2. Ao executar e depurar projetos desconhecidos, é aconselhável utilizar um ambiente independente e livre de dados sensíveis.

3. Verifique regularmente as dependências do projeto e preste atenção aos anúncios de segurança de plataformas de gerenciamento de pacotes como o NPM.

4. Utilize ferramentas e serviços de segurança confiáveis para detectar potenciais ameaças a tempo.

5. Reforçar a formação em segurança para a equipa de desenvolvimento, aumentando a vigilância.

Este evento nos lembra mais uma vez que, no ecossistema Web3, a segurança é sempre uma prioridade. Desenvolvedores e usuários precisam manter uma vigilância elevada e colaborar para manter a segurança do ecossistema.