Аналіз події атаки на екосистему Solana - Зловмисний пакет NPM викрав закриті ключі користувачів

На початку липня 2025 року інцидент атаки на користувачів екосистеми Solana привернув увагу команди безпеки. Один користувач, скориставшись відкритим проектом на GitHub, виявив, що його криптоактиви були вкрадені. Після глибокого розслідування експерти з безпеки виявили ретельно спланований ланцюг атак.

Зловмисник маскується під легітимний проект з відкритим кодом під назвою "solana-pumpfun-bot". Цей проект на GitHub виглядає нормально, має високу кількість зірок та форків. Однак, при детальному розгляді виявляється, що всі коміти коду були зроблені три тижні тому, і відсутні ознаки постійного оновлення.

Подальший аналіз виявив, що проєкт залежить від підозрілого стороннього пакету під назвою "crypto-layout-utils". Цей пакет був вилучений з офіційного NPM, і вказаний номер версії відсутній в офіційній історії. Зловмисники змінили файл package-lock.json, замінивши посилання для завантаження залежного пакету на адресу GitHub, що контролюється ними.

Цей шкідливий пакет NPM сильно обфусцований, всередині реалізована логіка сканування файлів комп'ютера користувача. Як тільки буде виявлено вміст, пов'язаний з гаманцем або Закритим ключем, він буде завантажений на сервер, контрольований зловмисником.

Зловмисники також вжили низку заходів для підвищення довіри до проєкту. Вони контролюють кілька акаунтів GitHub, які використовуються для Fork зловмисних проєктів та їх розповсюдження, одночасно штучно підвищуючи кількість Fork і Star проєкту, залучаючи більше уваги користувачів.

Крім "crypto-layout-utils", ще один шкідливий пакет під назвою "bs58-encrypt-utils" також використовувався для подібних атак. Це свідчить про те, що зловмисники після зняття пакета з NPM змінили стратегію атаки, перейшовши на розповсюдження шкідливого коду через змінену посилання для завантаження.

За допомогою інструментів аналізу на блокчейні було виявлено, що частина вкрадених коштів була переведена на певну торгову платформу.

Ця атака виявила потенційні ризики, з якими стикається відкритий спільнота. Зловмисники, маскуючись під легітимні проекти та використовуючи комбінацію соціальної інженерії та технічних засобів, успішно спонукали користувачів запускати шкідливий код, що призвело до витоку Закритий ключ і крадіжки активів.

Експерти з безпеки рекомендують розробникам і користувачам бути надзвичайно обережними з проектами GitHub неналежного походження, особливо з проектами, що стосуються гаманців або Закритий ключ. Якщо необхідно налагодити, найкраще робити це в ізольованому середовищі, що не містить чутливих даних.

Ця подія ще раз нагадує нам, що в децентралізованому світі з відкритим вихідним кодом безпека користувачів і їх обізнаність є надзвичайно важливими. Водночас закликаємо платформи та спільноти посилити контроль над зловмисними проектами та швидкістю реагування, щоб спільно підтримувати безпечнішу екосистему блокчейн.