Usuarios de Solana sufren robo de activos: paquete NPM malicioso roba la Llave privada

Recientemente, un incidente de robo de activos dirigido a usuarios de Solana ha llamado la atención de los expertos en seguridad. El evento se originó en un proyecto de código abierto alojado en GitHub, que contenía un paquete NPM malicioso capaz de robar la información de la llave privada de los usuarios.

El evento comenzó el 2 de julio de 2025, cuando un usuario, tras utilizar un proyecto de GitHub llamado "solana-pumpfun-bot", descubrió que sus activos criptográficos habían sido robados. El equipo de seguridad inició de inmediato una investigación y encontró múltiples aspectos sospechosos en dicho proyecto.

Primero, la actualización del código del proyecto se concentró hace tres semanas, careciendo de características de mantenimiento continuo. En segundo lugar, el proyecto depende de un paquete de terceros llamado "crypto-layout-utils", el cual ha sido retirado por NPM y la versión especificada no aparece en el historial oficial de NPM.

Una investigación más profunda reveló que el atacante reemplazó el enlace de descarga de crypto-layout-utils en el archivo package-lock.json, apuntando a un archivo en un repositorio de GitHub. Este archivo está altamente ofuscado, lo que aumenta la dificultad de análisis.

Después de deshacer la confusión, el equipo de seguridad confirmó que se trata de un paquete NPM malicioso. Este puede escanear los archivos en la computadora del usuario, en busca de contenido relacionado con billeteras o llaves privadas, y subir la información sensible encontrada a un servidor controlado por el atacante.

Los atacantes parecen haber controlado varias cuentas de GitHub para distribuir software malicioso y aumentar la cantidad de Stars y Forks de los proyectos, con el fin de atraer a más usuarios. Además de crypto-layout-utils, otro paquete malicioso llamado bs58-encrypt-utils también se utilizó para ataques similares.

A través de herramientas de análisis en la cadena, el equipo de seguridad rastreó que parte de los fondos robados fluyeron hacia una plataforma de intercambio.

Este incidente de ataque revela los riesgos de seguridad ocultos en los proyectos de código abierto. Los atacantes disfrazaron proyectos legítimos para inducir a los usuarios a descargar y ejecutar programas que contenían código malicioso. La colaboración de múltiples cuentas de GitHub aumentó la credibilidad y el alcance de la propagación del ataque.

Para prevenir ataques similares, se recomienda a los desarrolladores y usuarios que mantengan una alta vigilancia sobre los proyectos de GitHub de origen desconocido, especialmente aquellos que involucran operaciones con billeteras o Llave privada. Si es necesario depurar, es mejor hacerlo en un entorno independiente y sin datos sensibles.

Este evento involucra múltiples repositorios maliciosos de GitHub y paquetes de NPM. El equipo de seguridad ha compilado información relevante, incluidos varios enlaces de proyectos sospechosos de GitHub, nombres de paquetes maliciosos de NPM y sus enlaces de descarga, así como la dirección del servidor de carga de datos utilizado por los atacantes. Esta información es crucial para identificar y prevenir ataques similares.