Des paquets NPM malveillants se faisant passer pour des projets Solana ont déclenché une alerte de sécurité en volant les clés privées des utilisateurs.
Projets Node.js malveillants utilisant des packages NPM pour voler les clés privées des utilisateurs de Solana
Début juillet 2025, un incident de vol d'actifs ciblant les utilisateurs de Solana a attiré l'attention des experts en sécurité. Une victime a découvert que ses actifs cryptographiques avaient été volés après avoir utilisé le projet open source "solana-pumpfun-bot" hébergé sur GitHub.
Après enquête de l'équipe de sécurité, il a été découvert que le projet était en réalité un piège soigneusement conçu. Bien que le nombre d'étoiles et de forks du projet soit élevé, le temps de soumission du code est anormalement concentré, manquant des caractéristiques de mise à jour continue que l'on attend d'un projet normal.
Une analyse approfondie a révélé que le projet dépendait d'un paquet tiers suspect nommé "crypto-layout-utils". Ce paquet a été retiré par les autorités de NPM, et la version spécifiée n'apparaît pas dans l'historique officiel. L'attaquant a contourné les mécanismes de sécurité de NPM en remplaçant le lien de téléchargement dans le fichier package-lock.json.
Après avoir téléchargé et analysé ce paquet malveillant hautement obfusqué, l'équipe de sécurité a confirmé qu'il pouvait scanner les fichiers de l'ordinateur de l'utilisateur et, une fois qu'il détecte des contenus liés au portefeuille ou à la Clé privée, il les télécharge sur un serveur contrôlé par l'attaquant.
De plus, les attaquants pourraient également avoir contrôlé plusieurs comptes GitHub pour distribuer des programmes malveillants et augmenter la crédibilité des projets. Certains projets Fork utilisent également un autre paquet malveillant "bs58-encrypt-utils".
Grâce à l'analyse en chaîne, les experts ont découvert que les fonds volés avaient été transférés vers une certaine plateforme de trading.
Cet incident met en évidence le danger de l'insertion de code malveillant dans les projets open source. Les attaquants ont utilisé des projets légitimes déguisés et un engouement artificiel pour réussir à inciter les utilisateurs à exécuter des projets Node.js contenant des dépendances malveillantes, entraînant la fuite de Clé privée et le vol d'actifs.
Les experts en sécurité recommandent aux développeurs et aux utilisateurs de rester extrêmement vigilants face aux projets GitHub d'origine inconnue, en particulier ceux qui impliquent des opérations de portefeuille ou de clé privée. En cas de débogage, il est préférable de le faire dans un environnement indépendant et sans données sensibles.
Ce type d'attaque combine l'ingénierie sociale et des techniques, rendant difficile une défense complète même au sein de l'organisation. Les utilisateurs doivent être prudents lors de l'utilisation de projets open source afin de protéger la sécurité de leurs actifs.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
8 J'aime
Récompense
8
4
Reposter
Partager
Commentaire
0/400
AirdropBlackHole
· Il y a 7h
C'est la vieille méthode traditionnelle des attaques de peeling.
Des paquets NPM malveillants se faisant passer pour des projets Solana ont déclenché une alerte de sécurité en volant les clés privées des utilisateurs.
Projets Node.js malveillants utilisant des packages NPM pour voler les clés privées des utilisateurs de Solana
Début juillet 2025, un incident de vol d'actifs ciblant les utilisateurs de Solana a attiré l'attention des experts en sécurité. Une victime a découvert que ses actifs cryptographiques avaient été volés après avoir utilisé le projet open source "solana-pumpfun-bot" hébergé sur GitHub.
Après enquête de l'équipe de sécurité, il a été découvert que le projet était en réalité un piège soigneusement conçu. Bien que le nombre d'étoiles et de forks du projet soit élevé, le temps de soumission du code est anormalement concentré, manquant des caractéristiques de mise à jour continue que l'on attend d'un projet normal.
Une analyse approfondie a révélé que le projet dépendait d'un paquet tiers suspect nommé "crypto-layout-utils". Ce paquet a été retiré par les autorités de NPM, et la version spécifiée n'apparaît pas dans l'historique officiel. L'attaquant a contourné les mécanismes de sécurité de NPM en remplaçant le lien de téléchargement dans le fichier package-lock.json.
Après avoir téléchargé et analysé ce paquet malveillant hautement obfusqué, l'équipe de sécurité a confirmé qu'il pouvait scanner les fichiers de l'ordinateur de l'utilisateur et, une fois qu'il détecte des contenus liés au portefeuille ou à la Clé privée, il les télécharge sur un serveur contrôlé par l'attaquant.
De plus, les attaquants pourraient également avoir contrôlé plusieurs comptes GitHub pour distribuer des programmes malveillants et augmenter la crédibilité des projets. Certains projets Fork utilisent également un autre paquet malveillant "bs58-encrypt-utils".
Grâce à l'analyse en chaîne, les experts ont découvert que les fonds volés avaient été transférés vers une certaine plateforme de trading.
Cet incident met en évidence le danger de l'insertion de code malveillant dans les projets open source. Les attaquants ont utilisé des projets légitimes déguisés et un engouement artificiel pour réussir à inciter les utilisateurs à exécuter des projets Node.js contenant des dépendances malveillantes, entraînant la fuite de Clé privée et le vol d'actifs.
Les experts en sécurité recommandent aux développeurs et aux utilisateurs de rester extrêmement vigilants face aux projets GitHub d'origine inconnue, en particulier ceux qui impliquent des opérations de portefeuille ou de clé privée. En cas de débogage, il est préférable de le faire dans un environnement indépendant et sans données sensibles.
Ce type d'attaque combine l'ingénierie sociale et des techniques, rendant difficile une défense complète même au sein de l'organisation. Les utilisateurs doivent être prudents lors de l'utilisation de projets open source afin de protéger la sécurité de leurs actifs.