Phân tích sự cố tấn công gói độc hại NPM vào hệ sinh thái Solana
Vào đầu tháng 7 năm 2025, hệ sinh thái Solana đã xảy ra một sự kiện an ninh do một gói NPM độc hại gây ra, dẫn đến việc nhiều tài sản của người dùng bị đánh cắp. Bài viết này sẽ phân tích chi tiết về nguồn gốc và diễn biến của sự kiện này.
Nguyên nhân sự kiện
Sự kiện bắt nguồn từ một dự án mã nguồn mở được lưu trữ trên GitHub có tên "solana-pumpfun-bot". Dự án này bề ngoài là một robot giao dịch trong hệ sinh thái Solana, nhưng thực tế lại chứa mã độc. Một người dùng sau khi sử dụng dự án này đã phát hiện tài sản tiền điện tử của mình bị chuyển đi một cách bí ẩn, và ngay lập tức đã tìm đến đội ngũ an ninh để được giúp đỡ.
Phân tích kỹ thuật
Các nhà nghiên cứu an ninh đã tiến hành điều tra sâu về dự án này và phát hiện ra những vấn đề chính sau đây:
Dự án bất thường: Số lượng Star và Fork của kho GitHub này khá cao, nhưng hồ sơ cam kết mã tập trung trong thời gian ngắn, thiếu đặc điểm cập nhật liên tục.
Phụ thuộc ác ý: Dự án đã tham chiếu một gói bên thứ ba nghi ngờ có tên "crypto-layout-utils". Gói này đã bị NPM chính thức gỡ xuống và phiên bản của nó không tồn tại trong lịch sử NPM.
Liên kết tải gói đã bị thay thế: Trong tệp package-lock.json, liên kết tải xuống của "crypto-layout-utils" đã được thay thế bằng một liên kết phát hành trên GitHub.
Mã nguồn bị làm rối: Gói nghi ngờ được tải xuống đã sử dụng jsjiami.com.v7 để làm rối cao độ, tăng độ khó phân tích.
Hành vi ác ý: Sau khi giải mã, các nhà nghiên cứu phát hiện gói này sẽ quét các tệp nhạy cảm trên máy tính của người dùng, nếu phát hiện nội dung liên quan đến ví hoặc khóa riêng sẽ tải lên máy chủ do kẻ tấn công kiểm soát.
Phạm vi tấn công mở rộng: Kẻ tấn công nghi ngờ đã kiểm soát nhiều tài khoản GitHub, sử dụng để Fork các dự án độc hại và tăng số lượng Star, nhằm thu hút nhiều người dùng hơn.
Nhiều phiên bản độc hại: Nghiên cứu phát hiện còn tồn tại một gói độc hại khác "bs58-encrypt-utils", suy đoán rằng hoạt động tấn công có thể đã bắt đầu từ giữa tháng 6 năm 2025.
Dòng tiền: Theo dõi qua công cụ phân tích trên chuỗi, một phần tiền bị đánh cắp đã được chuyển đến một nền tảng giao dịch nào đó.
Tóm tắt các phương pháp tấn công
Kẻ tấn công đã giả mạo thành các dự án mã nguồn mở hợp pháp, dụ dỗ người dùng tải xuống và chạy các dự án Node.js chứa phụ thuộc độc hại. Kẻ tấn công cũng đã sử dụng nhiều tài khoản GitHub để phối hợp hành động, nâng cao độ tin cậy và phạm vi phát tán của dự án. Phương thức tấn công kết hợp kỹ thuật xã hội và kỹ thuật này rất lừa đảo và khó phòng ngừa.
Lời khuyên an toàn
Cần thận trọng với các dự án GitHub có nguồn gốc không rõ ràng, đặc biệt là những dự án liên quan đến ví hoặc thao tác khóa riêng.
Khi chạy và gỡ lỗi các dự án không xác định, nên sử dụng môi trường độc lập và không chứa dữ liệu nhạy cảm.
Thường xuyên kiểm tra các phụ thuộc của dự án, chú ý đến thông báo bảo mật từ các nền tảng quản lý gói như NPM.
Sử dụng các công cụ và dịch vụ an toàn đáng tin cậy, phát hiện kịp thời các mối đe dọa tiềm ẩn.
Tăng cường đào tạo nhận thức an ninh cho đội ngũ phát triển, nâng cao sự cảnh giác.
Sự kiện lần này một lần nữa nhắc nhở chúng ta rằng, trong hệ sinh thái Web3, an toàn luôn là ưu tiên hàng đầu. Các nhà phát triển và người dùng cần giữ cảnh giác cao độ, cùng nhau bảo vệ an toàn cho hệ sinh thái.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
8 thích
Phần thưởng
8
5
Đăng lại
Chia sẻ
Bình luận
0/400
GateUser-ccc36bc5
· 08-10 09:14
Hacker đánh du kích thì không có điểm dừng.
Xem bản gốcTrả lời0
ChainChef
· 08-09 20:54
Có vẻ như ai đó đã để cửa bếp npm mở toang... sai lầm của người mới khi phục vụ mã thô mà không có gia vị thích hợp thật lòng mà nói.
Hệ sinh thái Solana bị tấn công bởi gói độc hại NPM, nhiều tài sản của người dùng bị đánh cắp.
Phân tích sự cố tấn công gói độc hại NPM vào hệ sinh thái Solana
Vào đầu tháng 7 năm 2025, hệ sinh thái Solana đã xảy ra một sự kiện an ninh do một gói NPM độc hại gây ra, dẫn đến việc nhiều tài sản của người dùng bị đánh cắp. Bài viết này sẽ phân tích chi tiết về nguồn gốc và diễn biến của sự kiện này.
Nguyên nhân sự kiện
Sự kiện bắt nguồn từ một dự án mã nguồn mở được lưu trữ trên GitHub có tên "solana-pumpfun-bot". Dự án này bề ngoài là một robot giao dịch trong hệ sinh thái Solana, nhưng thực tế lại chứa mã độc. Một người dùng sau khi sử dụng dự án này đã phát hiện tài sản tiền điện tử của mình bị chuyển đi một cách bí ẩn, và ngay lập tức đã tìm đến đội ngũ an ninh để được giúp đỡ.
Phân tích kỹ thuật
Các nhà nghiên cứu an ninh đã tiến hành điều tra sâu về dự án này và phát hiện ra những vấn đề chính sau đây:
Tóm tắt các phương pháp tấn công
Kẻ tấn công đã giả mạo thành các dự án mã nguồn mở hợp pháp, dụ dỗ người dùng tải xuống và chạy các dự án Node.js chứa phụ thuộc độc hại. Kẻ tấn công cũng đã sử dụng nhiều tài khoản GitHub để phối hợp hành động, nâng cao độ tin cậy và phạm vi phát tán của dự án. Phương thức tấn công kết hợp kỹ thuật xã hội và kỹ thuật này rất lừa đảo và khó phòng ngừa.
Lời khuyên an toàn
Cần thận trọng với các dự án GitHub có nguồn gốc không rõ ràng, đặc biệt là những dự án liên quan đến ví hoặc thao tác khóa riêng.
Khi chạy và gỡ lỗi các dự án không xác định, nên sử dụng môi trường độc lập và không chứa dữ liệu nhạy cảm.
Thường xuyên kiểm tra các phụ thuộc của dự án, chú ý đến thông báo bảo mật từ các nền tảng quản lý gói như NPM.
Sử dụng các công cụ và dịch vụ an toàn đáng tin cậy, phát hiện kịp thời các mối đe dọa tiềm ẩn.
Tăng cường đào tạo nhận thức an ninh cho đội ngũ phát triển, nâng cao sự cảnh giác.
Sự kiện lần này một lần nữa nhắc nhở chúng ta rằng, trong hệ sinh thái Web3, an toàn luôn là ưu tiên hàng đầu. Các nhà phát triển và người dùng cần giữ cảnh giác cao độ, cùng nhau bảo vệ an toàn cho hệ sinh thái.