Phân tích sự kiện tấn công vào hệ sinh thái Solana - Gói NPM độc hại đánh cắp khóa riêng của người dùng

Đầu tháng 7 năm 2025, một sự kiện tấn công nhằm vào người dùng hệ sinh thái Solana đã thu hút sự chú ý của nhóm an ninh. Một người dùng sau khi sử dụng một dự án mã nguồn mở trên GitHub đã phát hiện tài sản tiền điện tử của mình bị đánh cắp. Qua điều tra sâu, các chuyên gia an ninh đã tiết lộ một chuỗi tấn công được lên kế hoạch tỉ mỉ.

Kẻ tấn công giả mạo một dự án mã nguồn mở hợp pháp, có tên "solana-pumpfun-bot". Kho lưu trữ GitHub của dự án này có vẻ bình thường, với số lượng Star và Fork cao. Tuy nhiên, khi quan sát kỹ, thấy rằng tất cả thời gian cam kết mã đều tập trung vào ba tuần trước, thiếu dấu hiệu cập nhật liên tục.

Phân tích sâu hơn cho thấy, dự án phụ thuộc vào một gói bên thứ ba khả nghi có tên "crypto-layout-utils". Gói này đã bị NPM chính thức gỡ bỏ, và phiên bản được chỉ định không tồn tại trong lịch sử chính thức. Kẻ tấn công đã thay đổi liên kết tải xuống của gói phụ thuộc trong tệp package-lock.json thành địa chỉ kho GitHub mà họ kiểm soát.

Gói NPM độc hại này đã được làm mờ cao độ, bên trong thực hiện logic quét các tệp trên máy tính của người dùng. Một khi phát hiện nội dung liên quan đến ví hoặc Khóa riêng, nó sẽ tải lên máy chủ do kẻ tấn công kiểm soát.

Kẻ tấn công cũng đã thực hiện một loạt các biện pháp để nâng cao độ tin cậy của dự án. Họ kiểm soát nhiều tài khoản GitHub để Fork các dự án độc hại và phân phối, đồng thời tăng cao số lượng Fork và Star của dự án, thu hút sự chú ý của nhiều người dùng hơn.

Ngoài "crypto-layout-utils", một gói độc hại khác có tên "bs58-encrypt-utils" cũng đã được sử dụng cho các cuộc tấn công tương tự. Điều này cho thấy kẻ tấn công đã thay đổi chiến lược tấn công sau khi gói bị gỡ bỏ khỏi NPM, chuyển sang sử dụng cách thay thế liên kết tải xuống để tiếp tục phân phối mã độc.

Thông qua công cụ phân tích trên chuỗi, phát hiện một phần tiền bị đánh cắp đã được chuyển đến một nền tảng giao dịch nào đó.

Sự cố tấn công lần này đã làm lộ ra những rủi ro tiềm ẩn mà cộng đồng mã nguồn mở phải đối mặt. Kẻ tấn công đã ngụy trang thành một dự án hợp pháp và sử dụng sự kết hợp giữa kỹ thuật xã hội và các biện pháp kỹ thuật để thành công dụ dỗ người dùng chạy mã độc, dẫn đến việc rò rỉ khóa riêng và tài sản bị đánh cắp.

Các chuyên gia an ninh khuyên các nhà phát triển và người dùng nên duy trì sự cảnh giác cao đối với các dự án GitHub không rõ nguồn gốc, đặc biệt là các dự án liên quan đến ví hoặc khóa riêng. Nếu cần gỡ lỗi, tốt nhất là thực hiện trong một môi trường độc lập và không chứa dữ liệu nhạy cảm.

Sự cố này một lần nữa nhắc nhở chúng ta rằng, trong thế giới mã nguồn mở phi tập trung, nhận thức về an toàn và sự cảnh giác của người dùng là vô cùng quan trọng. Đồng thời, cũng kêu gọi các nền tảng và cộng đồng tăng cường giám sát và cơ chế phản ứng nhanh đối với các dự án ác ý, cùng nhau duy trì một hệ sinh thái blockchain an toàn hơn.