Analyse de l'attaque sur l'écosystème Solana - Événement de vol de clés privées des utilisateurs par un package NPM malveillant

Début juillet 2025, un incident d'attaque ciblant les utilisateurs de l'écosystème Solana a attiré l'attention de l'équipe de sécurité. Un utilisateur, après avoir utilisé un projet open source sur GitHub, a découvert que ses actifs cryptographiques avaient été volés. Après une enquête approfondie, des experts en sécurité ont révélé une chaîne d'attaques soigneusement orchestrée.

L'attaquant se fait passer pour un projet open source légitime, appelé "solana-pumpfun-bot". Le dépôt GitHub de ce projet semble normal, avec un nombre élevé d'étoiles et de forks. Cependant, en y regardant de plus près, on constate que toutes les dates de soumission du code sont concentrées il y a trois semaines, sans signe de mises à jour continues.

Une analyse plus approfondie a révélé que le projet dépendait d'un paquet tiers suspect nommé "crypto-layout-utils". Ce paquet a été retiré par l'équipe officielle de NPM et le numéro de version spécifié n'existe pas dans les archives officielles. L'attaquant a modifié le fichier package-lock.json pour remplacer le lien de téléchargement du paquet dépendant par l'adresse de son propre dépôt GitHub.

Ce paquet NPM malveillant est fortement obscurci et implémente en interne une logique de scan des fichiers de l'ordinateur de l'utilisateur. Une fois qu'il détecte du contenu lié à un portefeuille ou à une Clé privée, il l'envoie à un serveur contrôlé par l'attaquant.

Les attaquants ont également pris une série de mesures pour augmenter la crédibilité du projet. Ils contrôlent plusieurs comptes GitHub pour forker des projets malveillants et les distribuer, tout en gonflant le nombre de forks et d'étoiles du projet pour attirer davantage l'attention des utilisateurs.

En plus de "crypto-layout-utils", un autre paquet malveillant nommé "bs58-encrypt-utils" a également été utilisé pour des attaques similaires. Cela indique que les attaquants ont changé de stratégie après le retrait des paquets de NPM, en choisissant de continuer à distribuer du code malveillant en remplaçant les liens de téléchargement.

Grâce aux outils d'analyse on-chain, il a été découvert qu'une partie des fonds volés avait été transférée sur une certaine plateforme d'échange.

Cet incident d'attaque met en lumière les risques potentiels auxquels la communauté open source est confrontée. Les attaquants se sont déguisés en projets légitimes et ont réussi à induire les utilisateurs en erreur pour exécuter du code malveillant en combinant l'ingénierie sociale et des techniques, entraînant la fuite de la clé privée et le vol d'actifs.

Les experts en sécurité recommandent aux développeurs et aux utilisateurs de rester vigilants face aux projets GitHub d'origine inconnue, en particulier ceux impliquant des portefeuilles ou des opérations sur des clés privées. Pour le débogage, il est préférable de le faire dans un environnement isolé et sans données sensibles.

Cet incident nous rappelle une fois de plus que dans le monde décentralisé et open source, la conscience et la vigilance des utilisateurs en matière de sécurité sont essentielles. En même temps, il appelle également les plateformes et les communautés à renforcer la régulation des projets malveillants et les mécanismes de réponse rapide, afin de préserver ensemble un écosystème blockchain plus sûr.