Análise do incidente de roubo de Chave privada de usuários por pacotes NPM maliciosos no ecossistema Solana

No início de julho de 2025, um incidente de ataque direcionado a usuários do ecossistema Solana chamou a atenção da equipe de segurança. Um usuário, após usar um projeto de código aberto no GitHub, descobriu que seus ativos criptográficos haviam sido roubados. Após uma investigação aprofundada, especialistas em segurança revelaram uma cadeia de ataque meticulosamente planejada.

Um atacante disfarçou-se como um projeto de código aberto legítimo, chamado "solana-pumpfun-bot". O repositório GitHub deste projeto parece normal, com um número elevado de estrelas e forks. No entanto, ao observar mais de perto, percebe-se que todos os envios de código estão concentrados há três semanas, faltando sinais de atualizações contínuas.

Uma análise mais aprofundada revelou que o projeto depende de um pacote de terceiros suspeito chamado "crypto-layout-utils". Este pacote foi removido pelo NPM e a versão especificada não existe no histórico oficial. O atacante modificou o arquivo package-lock.json, substituindo o link de download do pacote de dependência pelo endereço do repositório do GitHub que controla.

Este pacote NPM malicioso foi altamente ofuscado e implementa uma lógica para escanear os arquivos do computador do usuário. Assim que detectar conteúdo relacionado a carteiras ou Chave privada, ele fará o upload para um servidor controlado pelo atacante.

Os atacantes também tomaram uma série de medidas para aumentar a credibilidade do projeto. Eles controlam várias contas do GitHub, utilizadas para fazer Fork de projetos maliciosos e distribuí-los, ao mesmo tempo que aumentam o número de Forks e Stars do projeto, atraindo mais atenção de usuários.

Além de "crypto-layout-utils", outro pacote malicioso chamado "bs58-encrypt-utils" também foi usado em ataques semelhantes. Isso indica que os atacantes mudaram a estratégia após o pacote ser retirado do NPM, optando por continuar a distribuir código malicioso através da substituição do link de download.

Através da ferramenta de análise on-chain, foi descoberto que parte dos fundos roubados foi transferida para uma determinada plataforma de negociação.

Este incidente de ataque revelou os riscos potenciais enfrentados pela comunidade de código aberto. Os atacantes disfarçaram-se como projetos legítimos e usaram uma combinação de engenharia social e técnicas, induzindo com sucesso os usuários a executarem código malicioso, resultando em vazamento de Chave privada e roubo de ativos.

Especialistas em segurança aconselham desenvolvedores e usuários a manterem uma alta vigilância sobre projetos do GitHub de origem desconhecida, especialmente aqueles que envolvem operações de carteira ou Chave privada. Para depuração, é melhor fazê-lo em um ambiente isolado e que não contenha dados sensíveis.

Este incidente lembra-nos mais uma vez que, no mundo descentralizado e de código aberto, a consciência de segurança e a vigilância dos usuários são cruciais. Ao mesmo tempo, também apela às plataformas e comunidades para reforçarem a supervisão sobre projetos maliciosos e os mecanismos de resposta rápida, a fim de manterem um ecossistema de blockchain mais seguro.