Proyectos maliciosos de Node.js utilizan paquetes NPM para robar las llaves privadas de los usuarios de Solana
A principios de julio de 2025, un incidente de robo de activos dirigido a usuarios de Solana llamó la atención de los expertos en seguridad. Una víctima descubrió que sus activos criptográficos habían sido robados después de utilizar el proyecto de código abierto "solana-pumpfun-bot" alojado en GitHub.
Después de que el equipo de seguridad llevara a cabo una investigación, descubrió que el proyecto era en realidad una trampa cuidadosamente diseñada. Aunque el número de estrellas y bifurcaciones del proyecto era alto, el tiempo de envío del código estaba anormalmente concentrado, careciendo de las características de actualización continua que debería tener un proyecto normal.
Un análisis profundo revela que el proyecto depende de un paquete de terceros sospechoso llamado "crypto-layout-utils". Este paquete ha sido retirado oficialmente de NPM, y la versión especificada no aparece en el historial oficial. Los atacantes eludieron el mecanismo de seguridad de NPM al reemplazar el enlace de descarga en el archivo package-lock.json.
Después de descargar y analizar este paquete malicioso altamente ofuscado, el equipo de seguridad confirmó que puede escanear los archivos de la computadora del usuario, y una vez que detecta contenido relacionado con billeteras o Llave privada, lo sube a un servidor controlado por el atacante.
Además, los atacantes también pueden haber controlado múltiples cuentas de GitHub para distribuir programas maliciosos y aumentar la credibilidad del proyecto. Algunos proyectos Fork también utilizaron otro paquete malicioso "bs58-encrypt-utils".
A través del análisis en la cadena, los expertos han descubierto que los fondos robados han sido transferidos a una plataforma de intercambio.
Este incidente destaca el peligro de ocultar código malicioso en proyectos de código abierto. Los atacantes aprovecharon proyectos legítimos disfrazados y un alto nivel de popularidad para inducir exitosamente a los usuarios a ejecutar proyectos de Node.js con dependencias maliciosas, lo que resultó en la filtración de llaves privadas y el robo de activos.
Los expertos en seguridad aconsejan a los desarrolladores y usuarios que mantengan una alta vigilancia sobre proyectos de GitHub de origen desconocido, especialmente aquellos que implican operaciones de billetera o Llave privada. Si se necesita depurar, lo mejor es hacerlo en un entorno independiente y sin datos sensibles.
Este tipo de ataque combina la ingeniería social y técnicas tecnológicas, lo que lo hace difícil de defender incluso dentro de la organización. Los usuarios deben tener cuidado al usar proyectos de código abierto para proteger la seguridad de sus activos.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
Paquete NPM malicioso se disfraza de proyecto Solana y roba claves privadas de usuarios, lo que genera una alerta de seguridad.
Proyectos maliciosos de Node.js utilizan paquetes NPM para robar las llaves privadas de los usuarios de Solana
A principios de julio de 2025, un incidente de robo de activos dirigido a usuarios de Solana llamó la atención de los expertos en seguridad. Una víctima descubrió que sus activos criptográficos habían sido robados después de utilizar el proyecto de código abierto "solana-pumpfun-bot" alojado en GitHub.
Después de que el equipo de seguridad llevara a cabo una investigación, descubrió que el proyecto era en realidad una trampa cuidadosamente diseñada. Aunque el número de estrellas y bifurcaciones del proyecto era alto, el tiempo de envío del código estaba anormalmente concentrado, careciendo de las características de actualización continua que debería tener un proyecto normal.
Un análisis profundo revela que el proyecto depende de un paquete de terceros sospechoso llamado "crypto-layout-utils". Este paquete ha sido retirado oficialmente de NPM, y la versión especificada no aparece en el historial oficial. Los atacantes eludieron el mecanismo de seguridad de NPM al reemplazar el enlace de descarga en el archivo package-lock.json.
Después de descargar y analizar este paquete malicioso altamente ofuscado, el equipo de seguridad confirmó que puede escanear los archivos de la computadora del usuario, y una vez que detecta contenido relacionado con billeteras o Llave privada, lo sube a un servidor controlado por el atacante.
Además, los atacantes también pueden haber controlado múltiples cuentas de GitHub para distribuir programas maliciosos y aumentar la credibilidad del proyecto. Algunos proyectos Fork también utilizaron otro paquete malicioso "bs58-encrypt-utils".
A través del análisis en la cadena, los expertos han descubierto que los fondos robados han sido transferidos a una plataforma de intercambio.
Este incidente destaca el peligro de ocultar código malicioso en proyectos de código abierto. Los atacantes aprovecharon proyectos legítimos disfrazados y un alto nivel de popularidad para inducir exitosamente a los usuarios a ejecutar proyectos de Node.js con dependencias maliciosas, lo que resultó en la filtración de llaves privadas y el robo de activos.
Los expertos en seguridad aconsejan a los desarrolladores y usuarios que mantengan una alta vigilancia sobre proyectos de GitHub de origen desconocido, especialmente aquellos que implican operaciones de billetera o Llave privada. Si se necesita depurar, lo mejor es hacerlo en un entorno independiente y sin datos sensibles.
Este tipo de ataque combina la ingeniería social y técnicas tecnológicas, lo que lo hace difícil de defender incluso dentro de la organización. Los usuarios deben tener cuidado al usar proyectos de código abierto para proteger la seguridad de sus activos.