Los usuarios de Solana enfrentan un nuevo tipo de ataque de phishing, paquetes NPM maliciosos roban llaves privadas causando pérdidas de activos

A principios de julio de 2025, un nuevo ataque de phishing dirigido a usuarios de Solana llamó la atención de los expertos en seguridad. Un usuario descubrió que sus activos criptográficos habían sido robados después de usar un proyecto de código abierto en GitHub. Tras una investigación, el equipo de seguridad reveló una cadena de ataque meticulosamente diseñada, que involucraba paquetes NPM maliciosos y la colaboración de varias cuentas de GitHub.

Cronología de los eventos

La víctima utilizó el proyecto de GitHub llamado "solana-pumpfun-bot" el 1 de julio, y al día siguiente descubrió que sus activos habían sido robados. El equipo de seguridad inició una investigación y descubrió que el proyecto presentaba múltiples puntos sospechosos:

1. La cantidad de Star y Fork del proyecto es anormalmente alta, pero las actualizaciones de código se concentraron hace tres semanas, lo que muestra una falta de características de mantenimiento continuo.
2. En la dependencia del proyecto se incluye un paquete de terceros sospechoso llamado "crypto-layout-utils".
3. El paquete sospechoso ha sido eliminado oficialmente de NPM y la versión especificada no está en el historial oficial.

Análisis de técnicas de ataque

Un análisis profundo revela que los atacantes utilizaron los siguientes métodos:

1. Se reemplazó el enlace de descarga de paquetes sospechosos en package-lock.json, apuntando a una versión personalizada en GitHub.
2. Este código de esta versión está altamente ofuscado, lo que aumenta la dificultad de análisis.
3. Después de desofuscar, se descubrió que el paquete escanea archivos en la computadora del usuario en busca de contenido relacionado con billeteras o Llave privada, y lo sube a un servidor controlado por el atacante.
4. Los atacantes pueden haber controlado múltiples cuentas de GitHub para hacer Fork de proyectos maliciosos y aumentar su popularidad, ampliando su alcance.

Flujo de fondos

A través de herramientas de análisis en cadena, se descubrió que una parte de los fondos robados fue transferida a una plataforma de intercambio.

Rango de ataque ampliado

La investigación también encontró que varios proyectos de Fork relacionados presentaban comportamientos maliciosos similares, y algunas versiones utilizaban otro paquete malicioso "bs58-encrypt-utils-1.0.3". Esto indica que los atacantes comenzaron a distribuir paquetes NPM maliciosos y proyectos de Node.js ya a mediados de junio.

Consejos de seguridad

1. Mantente alerta ante proyectos de GitHub de origen desconocido, especialmente aquellos que involucran operaciones de billetera o Llave privada.
2. Si necesita depurar este tipo de proyectos, se recomienda hacerlo en un entorno independiente y sin datos sensibles.
3. Los desarrolladores deben revisar regularmente las dependencias del proyecto y estar atentos a paquetes de terceros sospechosos.
4. El usuario debe utilizar métodos de almacenamiento más seguros, como una billetera de hardware, para evitar almacenar la llave privada en texto claro en la computadora.

Este incidente nos recuerda nuevamente que la conciencia de seguridad personal y las medidas de protección básicas son cruciales en el mundo descentralizado y de código abierto. Los atacantes están constantemente innovando sus métodos, y nosotros también debemos mantenernos actualizados, estar alerta y proteger bien nuestros activos digitales.