Пользователи Solana столкнулись с новой формой фишинга, вредоносные пакеты NPM похитили Закрытый ключ, что привело к потерям активов
В начале июля 2025 года новый тип фишинговой атаки на пользователей Solana привлек внимание экспертов по безопасности. Один из пользователей, воспользовавшись открытым проектом на GitHub, обнаружил, что его криптоактивы были украдены. В результате расследования команда безопасности выявила тщательно спланированную цепочку атак, включающую вредоносные пакеты NPM и координированные действия нескольких аккаунтов на GitHub.
Ход событий
Жертва 1 июля использовала проект GitHub под названием "solana-pumpfun-bot" и на следующий день обнаружила, что активы были украдены. Команда безопасности немедленно начала расследование и обнаружила несколько подозрительных моментов в этом проекте:
У проекта аномально высокое количество звезд и форков, но обновления кода сосредоточены на три недели назад, что указывает на отсутствие постоянного обслуживания.
В зависимости проекта содержится подозрительная сторонняя библиотека под названием "crypto-layout-utils".
Этот подозрительный пакет был удален официальным NPM, и указанная версия отсутствует в официальной истории.
Анализ методов атаки
Глубокий анализ показал, что злоумышленники использовали следующие методы:
В package-lock.json заменена ссылка на скачивание подозрительного пакета, указывающая на самодельную версию на GitHub.
Эта версия кода была сильно запутана, что увеличивает трудность анализа.
После декодирования было обнаружено, что пакет будет сканировать файлы компьютера пользователя в поисках содержимого, связанного с кошельками или Закрытыми ключами, и загружать его на сервер, контролируемый злоумышленником.
Атакующий мог контролировать несколько аккаунтов GitHub, чтобы форкать вредоносные проекты и увеличивать их популярность, расширяя круг распространения.
Направление денежных потоков
С помощью инструментов анализа на блокчейне было установлено, что часть украденных средств была переведена на одну из торговых площадок.
Расширение диапазона атаки
Расследование также выявило, что несколько связанных проектов Fork также проявляли аналогичное злонамеренное поведение, некоторые версии использовали другой злонамеренный пакет "bs58-encrypt-utils-1.0.3". Это указывает на то, что злоумышленники начали распространять злонамеренные NPM пакеты и проекты Node.js еще в середине июня.
Рекомендации по безопасности
Будьте крайне осторожны с проектами на GitHub, происхождение которых неизвестно, особенно с проектами, связанными с кошельками или Закрытым ключом.
Если необходимо отладить такие проекты, рекомендуется проводить это в отдельной среде без конфиденциальных данных.
Разработчики должны регулярно проверять зависимости проекта и быть внимательными к подозрительным сторонним пакетам.
Пользователи должны использовать более безопасные методы хранения, такие как аппаратные кошельки, чтобы избежать хранения закрытого ключа в открытом виде на компьютере.
Это событие снова напоминает нам о том, что в децентрализованном мире с открытым исходным кодом личная безопасность и основные меры защиты имеют решающее значение. Атакующие постоянно разрабатывают новые методы, и нам также необходимо идти в ногу со временем, повышать бдительность и защищать свои цифровые активы.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
13 Лайков
Награда
13
4
Поделиться
комментарий
0/400
MoonRocketman
· 14ч назад
Сигнал RSI! Еще один неудачник попал в ловушку орбиты. Хорошо, что я просчитал вероятность по наклону координат.
Посмотреть ОригиналОтветить0
ProxyCollector
· 14ч назад
Я же говорил, не подключайте npm пакеты без разбора!
Пользователи Solana столкнулись с новой схемой фишинга, вредоносный пакет NPM украл Закрытый ключ, что привело к потерям активов.
Пользователи Solana столкнулись с новой формой фишинга, вредоносные пакеты NPM похитили Закрытый ключ, что привело к потерям активов
В начале июля 2025 года новый тип фишинговой атаки на пользователей Solana привлек внимание экспертов по безопасности. Один из пользователей, воспользовавшись открытым проектом на GitHub, обнаружил, что его криптоактивы были украдены. В результате расследования команда безопасности выявила тщательно спланированную цепочку атак, включающую вредоносные пакеты NPM и координированные действия нескольких аккаунтов на GitHub.
Ход событий
Жертва 1 июля использовала проект GitHub под названием "solana-pumpfun-bot" и на следующий день обнаружила, что активы были украдены. Команда безопасности немедленно начала расследование и обнаружила несколько подозрительных моментов в этом проекте:
Анализ методов атаки
Глубокий анализ показал, что злоумышленники использовали следующие методы:
Направление денежных потоков
С помощью инструментов анализа на блокчейне было установлено, что часть украденных средств была переведена на одну из торговых площадок.
Расширение диапазона атаки
Расследование также выявило, что несколько связанных проектов Fork также проявляли аналогичное злонамеренное поведение, некоторые версии использовали другой злонамеренный пакет "bs58-encrypt-utils-1.0.3". Это указывает на то, что злоумышленники начали распространять злонамеренные NPM пакеты и проекты Node.js еще в середине июня.
Рекомендации по безопасности
Это событие снова напоминает нам о том, что в децентрализованном мире с открытым исходным кодом личная безопасность и основные меры защиты имеют решающее значение. Атакующие постоянно разрабатывают новые методы, и нам также необходимо идти в ногу со временем, повышать бдительность и защищать свои цифровые активы.