Аналіз інциденту атаки зловмисних пакетів NPM на екосистему Solana
На початку липня 2025 року в екосистемі Solana сталася безпекова подія, спричинена зловмисним пакетом NPM, в результаті якої було вкрадено активи багатьох користувачів. У цій статті буде детально проаналізовано обставини цієї події.
Причини події
Подія почалася з відкритого проекту, що зберігається на GitHub "solana-pumpfun-bot". Цей проект на перший погляд є торговим роботом для екосистеми Solana, але насправді містить шкідливий код. Один із користувачів, скориставшись цим проектом, виявив, що його криптоактиви без видимих причин були переведені, і негайно звернувся по допомогу до команди безпеки.
Технічний аналіз
Дослідники безпеки провели глибоке розслідування цього проєкту і виявили такі ключові проблеми:
Аномалія проєкту: у цього GitHub репозиторію висока кількість Star і Fork, але записи про коміти зосереджені на короткому проміжку часу, і бракує ознак постійного оновлення.
Зловмисна залежність: проект посилається на підозрілий третій пакет під назвою "crypto-layout-utils". Цей пакет був знятий з NPM, і номер версії не існує в історії NPM.
Посилання для завантаження пакету було замінено: у файлі package-lock.json посилання для завантаження "crypto-layout-utils" було замінено на посилання на реліз GitHub.
Обфускація коду: підозрілий пакет, що завантажується, був сильно обфускований за допомогою jsjiami.com.v7, що ускладнює аналіз.
Зловмисні дії: Після декомпіляції дослідники виявили, що цей пакет сканує чутливі файли на комп'ютері користувача, і якщо виявляє вміст, пов'язаний з гаманцем або приватними ключами, то завантажує його на сервер, контрольований зловмисниками.
Розширення сфери атаки: Зловмисник, ймовірно, контролював кілька облікових записів GitHub для форкування шкідливих проектів і підвищення кількості зірок, щоб залучити більше користувачів.
Кілька шкідливих версій: дослідження виявило ще один шкідливий пакет "bs58-encrypt-utils", ймовірно, атаки могли початися ще в середині червня 2025 року.
Напрямок руху коштів: за допомогою інструментів аналізу в ланцюгу відстежено, що частина вкрадених коштів була переміщена на певну торгову платформу.
Підсумок атак
Зловмисники, маскуючись під легітимні проєкти з відкритим кодом, спонукають користувачів завантажувати та запускати Node.js проєкти з шкідливими залежностями. Зловмисники також використовують кілька облікових записів GitHub для спільних дій, підвищуючи довіру до проєкту та його розповсюдження. Такий спосіб атаки, що поєднує соціальну інженерію та технічні засоби, є надзвичайно обманливим і важким для запобігання.
Рекомендації з безпеки
Обережно ставтеся до GitHub проектів з невідомим джерелом, особливо тих, що стосуються гаманців або операцій з приватними ключами.
Під час запуску та налагодження невідомих проектів рекомендується використовувати окреме середовище, що не містить чутливих даних.
Регулярно перевіряйте залежності проекту, звертайте увагу на оголошення про безпеку на платформах керування пакетами, таких як NPM.
Використовуйте надійні інструменти та сервіси безпеки для своєчасного виявлення потенційних загроз.
Посилити навчання команди розробників у питаннях безпеки, підвищити обізнаність.
Ця подія ще раз нагадує нам, що безпека завжди є найважливішим у екосистемі Web3. Розробники та користувачі повинні залишатися у високій готовності та спільно підтримувати безпеку екосистеми.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
8 лайків
Нагородити
8
5
Репост
Поділіться
Прокоментувати
0/400
GateUser-ccc36bc5
· 17год тому
Хакер веде партизанську війну, і це не закінчиться.
Переглянути оригіналвідповісти на0
ChainChef
· 08-09 20:54
схоже, що хтось залишив двері кухні npm широко відкритими... новачковою помилкою подавати сирий код без належного приправлення, чесно кажучи
Переглянути оригіналвідповісти на0
GweiWatcher
· 08-09 20:54
Знову сталася p-інцидент.
Переглянути оригіналвідповісти на0
GasOptimizer
· 08-09 20:52
gm просто лежав і його обдурили людей, як лохів, сам винен
Екосистема Solana зазнала атаки шкідливими пакетами NPM, багато активів користувачів було вкрадено.
Аналіз інциденту атаки зловмисних пакетів NPM на екосистему Solana
На початку липня 2025 року в екосистемі Solana сталася безпекова подія, спричинена зловмисним пакетом NPM, в результаті якої було вкрадено активи багатьох користувачів. У цій статті буде детально проаналізовано обставини цієї події.
Причини події
Подія почалася з відкритого проекту, що зберігається на GitHub "solana-pumpfun-bot". Цей проект на перший погляд є торговим роботом для екосистеми Solana, але насправді містить шкідливий код. Один із користувачів, скориставшись цим проектом, виявив, що його криптоактиви без видимих причин були переведені, і негайно звернувся по допомогу до команди безпеки.
Технічний аналіз
Дослідники безпеки провели глибоке розслідування цього проєкту і виявили такі ключові проблеми:
Підсумок атак
Зловмисники, маскуючись під легітимні проєкти з відкритим кодом, спонукають користувачів завантажувати та запускати Node.js проєкти з шкідливими залежностями. Зловмисники також використовують кілька облікових записів GitHub для спільних дій, підвищуючи довіру до проєкту та його розповсюдження. Такий спосіб атаки, що поєднує соціальну інженерію та технічні засоби, є надзвичайно обманливим і важким для запобігання.
Рекомендації з безпеки
Обережно ставтеся до GitHub проектів з невідомим джерелом, особливо тих, що стосуються гаманців або операцій з приватними ключами.
Під час запуску та налагодження невідомих проектів рекомендується використовувати окреме середовище, що не містить чутливих даних.
Регулярно перевіряйте залежності проекту, звертайте увагу на оголошення про безпеку на платформах керування пакетами, таких як NPM.
Використовуйте надійні інструменти та сервіси безпеки для своєчасного виявлення потенційних загроз.
Посилити навчання команди розробників у питаннях безпеки, підвищити обізнаність.
Ця подія ще раз нагадує нам, що безпека завжди є найважливішим у екосистемі Web3. Розробники та користувачі повинні залишатися у високій готовності та спільно підтримувати безпеку екосистеми.