Анализ инцидента кражи закрытого ключа пользователей в результате атаки на экосистему Solana - вредоносный пакет NPM

В начале июля 2025 года произошел инцидент с атакой на пользователей экосистемы Solana, который привлек внимание команды безопасности. Один из пользователей, используя один из открытых проектов на GitHub, обнаружил, что его криптоактивы были украдены. После глубокого расследования эксперты по безопасности раскрыли тщательно спланированную цепочку атак.

Атакующий выдает себя за законный проект с открытым исходным кодом под названием "solana-pumpfun-bot". Репозиторий этого проекта на GitHub выглядит нормально, имеет большое количество звезд и форков. Однако при более внимательном рассмотрении оказывается, что все коммиты кода были сделаны три недели назад, и отсутствуют признаки постоянного обновления.

Дальнейший анализ показал, что проект зависел от подозрительного стороннего пакета под названием "crypto-layout-utils". Этот пакет был удален с официального сайта NPM, и указанная версия отсутствует в официальной истории. Злоумышленники изменили файл package-lock.json, заменив ссылку для загрузки зависимого пакета на адрес своего контролируемого репозитория GitHub.

Этот вредоносный пакет NPM был сильно замаскирован, и в его внутренней реализации заложена логика сканирования файлов на компьютере пользователя. Как только обнаруживается контент, связанный с кошельком или Закрытым ключом, он будет загружен на сервер, контролируемый атакующим.

Злоумышленники также предприняли ряд мер для повышения доверия к проекту. Они контролируют несколько аккаунтов GitHub, которые используются для форка вредоносных проектов и их распространения, одновременно увеличивая количество форков и звезд проекта, чтобы привлечь больше пользователей.

Помимо "crypto-layout-utils", еще один вредоносный пакет под названием "bs58-encrypt-utils" также использовался для аналогичных атак. Это указывает на то, что злоумышленники изменили стратегию атаки после удаления пакетов из NPM и начали использовать метод замены ссылок для продолжения распространения вредоносного кода.

С помощью инструментов анализа на блокчейне было обнаружено, что часть украденных средств была переведена на одну из торговых платформ.

Этот инцидент с атакой выявил потенциальные риски, с которыми сталкивается сообщество с открытым исходным кодом. Злоумышленники, маскируясь под законные проекты и используя сочетание социальной инженерии и технических средств, успешно ввели пользователей в заблуждение, заставив их запустить вредоносный код, что привело к утечке закрытых ключей и краже активов.

Эксперты по безопасности советуют разработчикам и пользователям быть крайне осторожными с незнакомыми проектами на GitHub, особенно с проектами, связанными с кошельками или Закрытыми ключами. Если необходимо отладить, лучше делать это в изолированной среде, не содержащей конфиденциальных данных.

Этот инцидент вновь напоминает нам о том, что в мире децентрализованных открытых технологий безопасность пользователей и их бдительность крайне важны. В то же время, это также призыв к платформам и сообществу усилить контроль за злоумышленными проектами и обеспечить быстрое реагирование, чтобы совместно поддерживать более безопасную экосистему блокчейна.