Анализ инцидента с атакой вредоносного пакета NPM на экосистему Solana
В начале июля 2025 года в экосистеме Solana произошло событие безопасности, вызванное вредоносным пакетом NPM, что привело к краже активов у нескольких пользователей. В данной статье будет подробно проанализирована суть этого инцидента.
Причины события
Событие началось с открытого проекта "solana-pumpfun-bot", размещенного на GitHub. Этот проект на первый взгляд является торговым роботом для экосистемы Solana, но на самом деле содержит вредоносный код. Один из пользователей, воспользовавшись этим проектом, обнаружил, что его криптоактивы без видимой причины были переведены, и сразу же обратился за помощью к команде безопасности.
Технический анализ
Безопасные исследователи провели глубокое расследование этого проекта и выявили следующие ключевые проблемы:
Аномалия проекта: У этого репозитория GitHub высокое количество звезд и форков, но записи о коммитах сосредоточены в короткий срок, что свидетельствует о нехватке регулярных обновлений.
Зловредная зависимость: проект ссылается на подозрительный сторонний пакет под названием "crypto-layout-utils". Этот пакет был удален с официального сайта NPM, и номер версии отсутствует в истории NPM.
Ссылка на загрузку пакета была заменена: в файле package-lock.json ссылка на загрузку "crypto-layout-utils" была заменена на ссылку на релиз GitHub.
Обфускация кода: Загруженный подозрительный пакет был сильно обфусцирован с использованием jsjiami.com.v7, что увеличивает сложность анализа.
Злонамеренные действия: после декомпиляции исследователи обнаружили, что пакет сканирует на компьютере пользователя чувствительные файлы, и если обнаруживаются данные, связанные с кошельком или приватным ключом, они загружаются на сервер, контролируемый злоумышленником.
Расширение зоны атаки: злоумышленник, по всей видимости, контролирует несколько аккаунтов GitHub, используемых для Fork'а вредоносных проектов и увеличения количества Star, чтобы привлечь больше пользователей.
Несколько вредоносных версий: Исследования показали, что существует еще один вредоносный пакет "bs58-encrypt-utils", предполагается, что атакующие действия могли начаться с середины июня 2025 года.
Направление движения средств: с помощью инструментов анализа на блокчейне отслежено, что часть украденных средств была переведена на одну из торговых платформ.
Обзор методов атак
Атакующие маскируются под законные проекты с открытым исходным кодом, чтобы обмануть пользователей и заставить их скачать и запустить проекты Node.js с вредоносными зависимостями. Атакующие также используют несколько аккаунтов GitHub для совместной работы, чтобы повысить доверие к проекту и расширить его охват. Этот способ атаки, сочетающий социальную инженерию и технические средства, крайне обманчив и трудно предотвратить.
Рекомендации по безопасности
Осторожно относитесь к проектам GitHub с неопознанным источником, особенно тем, которые связаны с кошельками или операциями с приватными ключами.
При запуске и отладке неизвестных проектов рекомендуется использовать независимую среду, не содержащую конфиденциальные данные.
Регулярно проверяйте зависимости проекта и следите за безопасными объявлениями на таких платформах управления пакетами, как NPM.
Используйте надежные инструменты и услуги безопасности для своевременного обнаружения потенциальных угроз.
Укрепить обучение команды разработчиков по вопросам безопасности, повысить бдительность.
Это событие еще раз напоминает нам о том, что безопасность всегда является приоритетом в экосистеме Web3. Разработчики и пользователи должны оставаться на чеку и совместно поддерживать безопасность экосистемы.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
8 Лайков
Награда
8
5
Репост
Поделиться
комментарий
0/400
GateUser-ccc36bc5
· 08-10 09:14
Хакер, который ведет партизанскую войну, не закончится.
Посмотреть ОригиналОтветить0
ChainChef
· 08-09 20:54
похоже, кто-то оставил дверь на кухню npm широко открытой... ошибка новичка подавать сырое код без должной приправы, если честно
Посмотреть ОригиналОтветить0
GweiWatcher
· 08-09 20:54
Снова произошел инцидент с P.
Посмотреть ОригиналОтветить0
GasOptimizer
· 08-09 20:52
gm просто лежит и его разыгрывайте людей как лохов, сам виноват
Экосистема Solana подверглась атаке злоумышленного пакета NPM, в результате чего активы нескольких пользователей были украдены.
Анализ инцидента с атакой вредоносного пакета NPM на экосистему Solana
В начале июля 2025 года в экосистеме Solana произошло событие безопасности, вызванное вредоносным пакетом NPM, что привело к краже активов у нескольких пользователей. В данной статье будет подробно проанализирована суть этого инцидента.
Причины события
Событие началось с открытого проекта "solana-pumpfun-bot", размещенного на GitHub. Этот проект на первый взгляд является торговым роботом для экосистемы Solana, но на самом деле содержит вредоносный код. Один из пользователей, воспользовавшись этим проектом, обнаружил, что его криптоактивы без видимой причины были переведены, и сразу же обратился за помощью к команде безопасности.
Технический анализ
Безопасные исследователи провели глубокое расследование этого проекта и выявили следующие ключевые проблемы:
Обзор методов атак
Атакующие маскируются под законные проекты с открытым исходным кодом, чтобы обмануть пользователей и заставить их скачать и запустить проекты Node.js с вредоносными зависимостями. Атакующие также используют несколько аккаунтов GitHub для совместной работы, чтобы повысить доверие к проекту и расширить его охват. Этот способ атаки, сочетающий социальную инженерию и технические средства, крайне обманчив и трудно предотвратить.
Рекомендации по безопасности
Осторожно относитесь к проектам GitHub с неопознанным источником, особенно тем, которые связаны с кошельками или операциями с приватными ключами.
При запуске и отладке неизвестных проектов рекомендуется использовать независимую среду, не содержащую конфиденциальные данные.
Регулярно проверяйте зависимости проекта и следите за безопасными объявлениями на таких платформах управления пакетами, как NPM.
Используйте надежные инструменты и услуги безопасности для своевременного обнаружения потенциальных угроз.
Укрепить обучение команды разработчиков по вопросам безопасности, повысить бдительность.
Это событие еще раз напоминает нам о том, что безопасность всегда является приоритетом в экосистеме Web3. Разработчики и пользователи должны оставаться на чеку и совместно поддерживать безопасность экосистемы.