Solana користувачів активи стали жертвою крадіжки: Відкритий вихідний код проекту приховує шкідливий код
На початку липня 2025 року користувач виявив, що його криптоактиви були вкрадені після використання відкритого вихідного коду на GitHub, і негайно звернувся по допомогу до команди безпеки. Під час розслідування було виявлено, що це була ретельно спланована атака, що включала маскування під відкриті проекти та шкідливі пакети NPM.
Дослідники спочатку відвідали репозиторій GitHub проєкту, де сталася подія. Хоча проєкт має велику кількість зірок і форків, його код був поданий лише три тижні тому, що викликало підозри у дослідників через відсутність постійних оновлень.
Подальший аналіз показав, що проект залежить від стороннього пакету під назвою crypto-layout-utils. Цей пакет був видалений з офіційного NPM, і версія, зазначена в package.json, не існує в історії офіційного NPM.
Ключові підказки з'являються в файлі package-lock.json: зловмисник замінив посилання на завантаження crypto-layout-utils на адресу на GitHub. Завантаживши та проаналізувавши цей підозрілий пакет залежностей, слідчі виявили, що це сильно заплутаний шкідливий код.
Після усунення плутанини підтверджено, що цей пакет NPM сканує файли на комп'ютері користувача у пошуках вмісту, пов'язаного з гаманцями або приватними ключами, і, якщо знаходить, завантажує їх на сервер, контрольований зловмисником.
Дослідження також виявило, що зловмисники можуть контролювати кілька облікових записів GitHub, щоб копіювати шкідливі проекти та підвищувати їхню довіру. Деякі пов'язані проекти використовували ще один шкідливий пакет bs58-encrypt-utils-1.0.3, який почав розповсюджуватися з 12 червня 2025 року.
За допомогою інструментів аналізу в ланцюзі виявлено, що адреса зловмисника після крадіжки коштів перевела їх на криптовалютну біржу.
У загальному підсумку, ця атака відбулася через маскування під легітимний відкритий вихідний код проект, спонукаючи користувачів завантажити та запустити програмне забезпечення з шкідливим кодом. Зловмисники також підвищували популярність проекту, щоб збільшити його надійність, що призвело до того, що користувачі без жодних підозр запустили проекти з шкідливими залежностями, що спричинило витік приватних ключів та крадіжку активів.
Цей метод атаки поєднує соціальну інженерію та технічні засоби, навіть всередині організації важко повністю захиститися. Рекомендується, щоб розробники та користувачі були особливо обережними щодо проектів GitHub з невідомим походженням, особливо якщо це стосується операцій з гаманцями або приватними ключами. Якщо потрібно виконати налагодження, краще робити це в ізольованому середовищі без чутливих даних.
Залучений проєкт та інформація про шкідливий пакет
Виявлено, що кілька репозиторіїв GitHub беруть участь у поширенні шкідливого коду, зокрема, але не обмежуючись:
2723799947QQ2022/solana-pumpfun-bot
2kwkkk/solana-pumpfun-bot
790659193qqch/solana-pumpfun-bot
7arlystar/solana-pumpfun-bot
918715c83/solana-pumpfun-bot
Зловмисний пакет NPM:
Крипто-макет-утиліти
bs58-encrypt-utils
Доменне ім'я сервера, контрольованого зловмисником:
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
17 лайків
Нагородити
17
3
Поділіться
Прокоментувати
0/400
LightningAllInHero
· 08-01 19:43
装монета被обдурювати людей, як лохів啦 又不长记性
Переглянути оригіналвідповісти на0
OffchainWinner
· 08-01 19:38
Ще один новий невдаха народився
Переглянути оригіналвідповісти на0
CryptoFortuneTeller
· 08-01 19:36
Хто ще вірить у відкритий вихідний код, той буде нещасливий.
Проект Solana зазнав атаки зловмисного коду, закритий ключ користувачів було вкрадено, активи зникли.
Solana користувачів активи стали жертвою крадіжки: Відкритий вихідний код проекту приховує шкідливий код
На початку липня 2025 року користувач виявив, що його криптоактиви були вкрадені після використання відкритого вихідного коду на GitHub, і негайно звернувся по допомогу до команди безпеки. Під час розслідування було виявлено, що це була ретельно спланована атака, що включала маскування під відкриті проекти та шкідливі пакети NPM.
Дослідники спочатку відвідали репозиторій GitHub проєкту, де сталася подія. Хоча проєкт має велику кількість зірок і форків, його код був поданий лише три тижні тому, що викликало підозри у дослідників через відсутність постійних оновлень.
Подальший аналіз показав, що проект залежить від стороннього пакету під назвою crypto-layout-utils. Цей пакет був видалений з офіційного NPM, і версія, зазначена в package.json, не існує в історії офіційного NPM.
Ключові підказки з'являються в файлі package-lock.json: зловмисник замінив посилання на завантаження crypto-layout-utils на адресу на GitHub. Завантаживши та проаналізувавши цей підозрілий пакет залежностей, слідчі виявили, що це сильно заплутаний шкідливий код.
Після усунення плутанини підтверджено, що цей пакет NPM сканує файли на комп'ютері користувача у пошуках вмісту, пов'язаного з гаманцями або приватними ключами, і, якщо знаходить, завантажує їх на сервер, контрольований зловмисником.
Дослідження також виявило, що зловмисники можуть контролювати кілька облікових записів GitHub, щоб копіювати шкідливі проекти та підвищувати їхню довіру. Деякі пов'язані проекти використовували ще один шкідливий пакет bs58-encrypt-utils-1.0.3, який почав розповсюджуватися з 12 червня 2025 року.
За допомогою інструментів аналізу в ланцюзі виявлено, що адреса зловмисника після крадіжки коштів перевела їх на криптовалютну біржу.
У загальному підсумку, ця атака відбулася через маскування під легітимний відкритий вихідний код проект, спонукаючи користувачів завантажити та запустити програмне забезпечення з шкідливим кодом. Зловмисники також підвищували популярність проекту, щоб збільшити його надійність, що призвело до того, що користувачі без жодних підозр запустили проекти з шкідливими залежностями, що спричинило витік приватних ключів та крадіжку активів.
Цей метод атаки поєднує соціальну інженерію та технічні засоби, навіть всередині організації важко повністю захиститися. Рекомендується, щоб розробники та користувачі були особливо обережними щодо проектів GitHub з невідомим походженням, особливо якщо це стосується операцій з гаманцями або приватними ключами. Якщо потрібно виконати налагодження, краще робити це в ізольованому середовищі без чутливих даних.
Залучений проєкт та інформація про шкідливий пакет
Виявлено, що кілька репозиторіїв GitHub беруть участь у поширенні шкідливого коду, зокрема, але не обмежуючись:
Зловмисний пакет NPM:
Доменне ім'я сервера, контрольованого зловмисником: