Análisis del incidente de robo de llaves privadas de usuarios por un paquete NPM malicioso en el ecosistema de Solana

A principios de julio de 2025, un ataque dirigido a los usuarios del ecosistema de Solana llamó la atención del equipo de seguridad. Un usuario, tras utilizar un proyecto de código abierto en GitHub, descubrió que sus activos criptográficos habían sido robados. Tras una exhaustiva investigación, los expertos en seguridad revelaron una cadena de ataques cuidadosamente planificada.

El atacante se disfrazó de un proyecto de código abierto legítimo llamado "solana-pumpfun-bot". El repositorio de este proyecto en GitHub parece normal, con un alto número de Stars y Forks. Sin embargo, al observar detenidamente, se puede notar que todos los tiempos de compromiso del código están concentrados en hace tres semanas, careciendo de signos de actualizaciones continuas.

Un análisis más detallado reveló que el proyecto dependía de un paquete de terceros sospechoso llamado "crypto-layout-utils". Este paquete ha sido eliminado oficialmente de NPM, y el número de versión especificado no existe en los registros oficiales. Los atacantes modificaron el archivo package-lock.json para reemplazar el enlace de descarga del paquete dependiente por una dirección de repositorio de GitHub controlada por ellos.

Este paquete malicioso de NPM está altamente ofuscado y contiene lógica para escanear los archivos de la computadora del usuario. Una vez que encuentra contenido relacionado con billeteras o Llave privada, lo sube a un servidor controlado por el atacante.

Los atacantes también tomaron una serie de medidas para aumentar la credibilidad del proyecto. Controlan múltiples cuentas de GitHub para bifurcar proyectos maliciosos y distribuirlos, al mismo tiempo que aumentan el número de bifurcaciones y estrellas del proyecto para atraer la atención de más usuarios.

Además de "crypto-layout-utils", otro paquete malicioso llamado "bs58-encrypt-utils" también se ha utilizado para ataques similares. Esto indica que los atacantes cambiaron su estrategia de ataque después de que el paquete fuera retirado de NPM, y comenzaron a utilizar enlaces de descarga alternativos para continuar distribuyendo código malicioso.

A través de herramientas de análisis en cadena, se descubrió que parte de los fondos robados fueron transferidos a una plataforma de intercambio.

Este incidente de ataque revela los riesgos potenciales que enfrenta la comunidad de código abierto. Los atacantes se disfrazaron de proyectos legítimos y utilizaron una combinación de ingeniería social y técnicas, lo que llevó a los usuarios a ejecutar código malicioso, resultando en la filtración de la llave privada y el robo de activos.

Los expertos en seguridad aconsejan a los desarrolladores y usuarios que mantengan una alta vigilancia sobre los proyectos de GitHub de origen desconocido, especialmente aquellos que involucran operaciones de billetera o Llave privada. Si se necesita depurar, es mejor hacerlo en un entorno independiente y sin datos sensibles.

Este incidente nos recuerda una vez más que la conciencia y la vigilancia de la seguridad del usuario son cruciales en un mundo descentralizado y de código abierto. Al mismo tiempo, se hace un llamado a las plataformas y a la comunidad para fortalecer la supervisión de proyectos maliciosos y establecer mecanismos de respuesta rápida, con el fin de mantener un ecosistema de blockchain más seguro.