# ソラナユーザー資産が盗まれる:オープンソースプロジェクトに悪意のあるコードが潜んでいる2025年7月初、あるユーザーがGitHubのオープンソースプロジェクトを使用した後、自分の暗号資産が盗まれたことに気づき、安全チームに助けを求めました。調査の結果、これは巧妙に計画された攻撃事件で、偽装されたオープンソースプロジェクトと悪意のあるNPMパッケージが関与していることが判明しました。! [悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる](https://img-cdn.gateio.im/social/moments-7c1b27cb5c44f6ffd4f57c5ef2a59c78)調査員はまず、事件が発生したプロジェクトのGitHubリポジトリを訪れました。このプロジェクトは比較的高いStarやForkの数を持っていますが、コードの提出日時が3週間前に集中しており、継続的な更新の特徴が欠けているため、調査員の疑念を引き起こしました。! [悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる](https://img-cdn.gateio.im/social/moments-a15d9d2ee4aa8d8bedbe5404f8071674)さらに分析したところ、プロジェクトはcrypto-layout-utilsという名前のサードパーティパッケージに依存していることがわかりました。このパッケージはNPMの公式から削除されており、package.jsonに指定されたバージョンはNPMの公式履歴には存在しません。! [悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる](https://img-cdn.gateio.im/social/moments-92270590754eee1f3c64701b925a6879)重要な手がかりはpackage-lock.jsonファイルに現れました:攻撃者はcrypto-layout-utilsのダウンロードリンクをGitHubのアドレスに置き換えました。この疑わしい依存関係をダウンロードして分析した後、調査者はこれは高度に難読化された悪意のあるコードであることを発見しました。! [悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる](https://img-cdn.gateio.im/social/moments-45385fac079be08f026846fa307046c9)解混淆後確認、このNPMパッケージはユーザーのコンピュータ上のファイルをスキャンし、ウォレットまたは秘密鍵に関連する内容を探します。発見されると、攻撃者が制御するサーバーにアップロードされます。! [悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれます](https://img-cdn.gateio.im/social/moments-4157e5ce89dc289397d318a7ac72b5e3)調査では、攻撃者が複数のGitHubアカウントを制御しており、悪意のあるプロジェクトをコピーしてその信頼性を高めるために使用されている可能性があることがわかりました。一部の関連プロジェクトは、別の悪意のあるパッケージbs58-encrypt-utils-1.0.3を使用しており、このパッケージは2025年6月12日から配布が開始されました。! [悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる](https://img-cdn.gateio.im/social/moments-6435ede5af6de3a2053b873ef8018cf2)チェーン上の分析ツールを使って追跡したところ、攻撃者のアドレスが資金を盗んだ後、暗号通貨取引所に移動させたことがわかりました。! [悪意のあるNPMパッケージが秘密鍵を盗み、Solanaユーザー資産が盗まれる](https://img-cdn.gateio.im/social/moments-90a997621185674ab87ea69625c794a5)全体的に見て、この攻撃は合法的なオープンソースプロジェクトを装い、ユーザーに悪意のあるコードを含むソフトウェアをダウンロードして実行させました。攻撃者はまた、プロジェクトの人気を不正に上げて信頼性を増すことで、ユーザーが警戒心なく悪意のある依存関係を含むプロジェクトを実行するように仕向け、秘密鍵の漏洩や資産の盗難を引き起こしました。この攻撃手法は、ソーシャルエンジニアリングと技術的手段を組み合わせており、組織内部でも完全に防御することが難しいです。開発者やユーザーは、出所不明のGitHubプロジェクトに対して高い警戒心を持つことをお勧めします。特に、ウォレットやプライベートキーの操作に関わる場合は注意が必要です。デバッグを行う場合は、独立した、かつ機密データがない環境で行うのが最良です。! [悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる](https://img-cdn.gateio.im/social/moments-702c2acd9c8ef126e067d87ebba33087)## 関与プロジェクトおよび悪意のあるパッケージ情報複数のGitHubリポジトリが悪意のあるコードの拡散に関与していることが発見されました。これには以下が含まれますが、これに限定されません:- 2723799947QQ2022/ソラナ-パンプファン-ボット- 2kwkkk/solana-pumpfun-bot- 790659193QQCH/ソラナポンプファンボット- 7arlystar/ソラナ-ポンプファン-ボット- 918715c83/solana-pumpfun-bot! [悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる](https://img-cdn.gateio.im/social/moments-c157bcdab010c7fabda1ae1595bababe)悪意のあるNPMパッケージ:- crypto-layout-utils- bs58-encrypt-utilsの! [悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる](https://img-cdn.gateio.im/social/moments-472221aa8ff3517457aade46eec5c094)攻撃者が制御するサーバーのドメイン名:- githubshadow.xyz! [悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる](https://img-cdn.gateio.im/social/moments-0373c883638c58f7ea0ee4d8f6d57f93)
ソラナプロジェクトが悪意のあるコード攻撃を受け、ユーザーの秘密鍵が盗まれ資産が流出しました。
ソラナユーザー資産が盗まれる:オープンソースプロジェクトに悪意のあるコードが潜んでいる
2025年7月初、あるユーザーがGitHubのオープンソースプロジェクトを使用した後、自分の暗号資産が盗まれたことに気づき、安全チームに助けを求めました。調査の結果、これは巧妙に計画された攻撃事件で、偽装されたオープンソースプロジェクトと悪意のあるNPMパッケージが関与していることが判明しました。
! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる
調査員はまず、事件が発生したプロジェクトのGitHubリポジトリを訪れました。このプロジェクトは比較的高いStarやForkの数を持っていますが、コードの提出日時が3週間前に集中しており、継続的な更新の特徴が欠けているため、調査員の疑念を引き起こしました。
! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる
さらに分析したところ、プロジェクトはcrypto-layout-utilsという名前のサードパーティパッケージに依存していることがわかりました。このパッケージはNPMの公式から削除されており、package.jsonに指定されたバージョンはNPMの公式履歴には存在しません。
! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる
重要な手がかりはpackage-lock.jsonファイルに現れました:攻撃者はcrypto-layout-utilsのダウンロードリンクをGitHubのアドレスに置き換えました。この疑わしい依存関係をダウンロードして分析した後、調査者はこれは高度に難読化された悪意のあるコードであることを発見しました。
! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる
解混淆後確認、このNPMパッケージはユーザーのコンピュータ上のファイルをスキャンし、ウォレットまたは秘密鍵に関連する内容を探します。発見されると、攻撃者が制御するサーバーにアップロードされます。
! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれます
調査では、攻撃者が複数のGitHubアカウントを制御しており、悪意のあるプロジェクトをコピーしてその信頼性を高めるために使用されている可能性があることがわかりました。一部の関連プロジェクトは、別の悪意のあるパッケージbs58-encrypt-utils-1.0.3を使用しており、このパッケージは2025年6月12日から配布が開始されました。
! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる
チェーン上の分析ツールを使って追跡したところ、攻撃者のアドレスが資金を盗んだ後、暗号通貨取引所に移動させたことがわかりました。
! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaユーザー資産が盗まれる
全体的に見て、この攻撃は合法的なオープンソースプロジェクトを装い、ユーザーに悪意のあるコードを含むソフトウェアをダウンロードして実行させました。攻撃者はまた、プロジェクトの人気を不正に上げて信頼性を増すことで、ユーザーが警戒心なく悪意のある依存関係を含むプロジェクトを実行するように仕向け、秘密鍵の漏洩や資産の盗難を引き起こしました。
この攻撃手法は、ソーシャルエンジニアリングと技術的手段を組み合わせており、組織内部でも完全に防御することが難しいです。開発者やユーザーは、出所不明のGitHubプロジェクトに対して高い警戒心を持つことをお勧めします。特に、ウォレットやプライベートキーの操作に関わる場合は注意が必要です。デバッグを行う場合は、独立した、かつ機密データがない環境で行うのが最良です。
! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる
関与プロジェクトおよび悪意のあるパッケージ情報
複数のGitHubリポジトリが悪意のあるコードの拡散に関与していることが発見されました。これには以下が含まれますが、これに限定されません:
! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる
悪意のあるNPMパッケージ:
! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる
攻撃者が制御するサーバーのドメイン名:
! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる