Les utilisateurs de Solana victimes de vol d'actifs : des paquets NPM malveillants volent des clés privées

Récemment, un incident de vol d'actifs ciblant les utilisateurs de Solana a attiré l'attention des experts en sécurité. L'incident provient d'un projet open source hébergé sur GitHub, qui contient un paquet NPM malveillant capable de voler les informations de clé privée des utilisateurs.

L'incident a commencé le 2 juillet 2025, lorsqu'un utilisateur a découvert que ses actifs cryptographiques avaient été volés après avoir utilisé un projet GitHub nommé "solana-pumpfun-bot". L'équipe de sécurité a immédiatement lancé une enquête et a découvert plusieurs éléments suspects dans ce projet.

Tout d'abord, la mise à jour du code du projet a eu lieu il y a trois semaines, ce qui montre un manque de maintenance continue. Deuxièmement, le projet dépend d'un package tiers appelé "crypto-layout-utils", qui a été retiré de NPM par les autorités officielles, et la version spécifiée n'apparaît pas dans l'historique officiel de NPM.

Une enquête plus poussée a révélé que les attaquants avaient remplacé le lien de téléchargement de crypto-layout-utils dans le fichier package-lock.json, le dirigeant vers un fichier dans un dépôt GitHub. Ce fichier a été fortement obfusqué, ce qui complique l'analyse.

Après déchiffrement, l'équipe de sécurité a confirmé qu'il s'agissait d'un package NPM malveillant. Il peut scanner les fichiers sur l'ordinateur de l'utilisateur à la recherche de contenus liés aux portefeuilles ou aux Clés privées, et téléverser les informations sensibles découvertes sur un serveur contrôlé par l'attaquant.

Les attaquants semblent contrôler plusieurs comptes GitHub pour distribuer des programmes malveillants et augmenter le nombre d'étoiles et de forks des projets, afin d'attirer davantage d'utilisateurs. En plus de crypto-layout-utils, un autre paquet malveillant nommé bs58-encrypt-utils a également été utilisé pour des attaques similaires.

Grâce à des outils d'analyse on-chain, l'équipe de sécurité a tracé une partie des fonds volés vers une certaine plateforme d'échange.

Cet incident d'attaque a révélé les risques de sécurité cachés dans les projets open source. Les attaquants ont masqué des projets légitimes pour inciter les utilisateurs à télécharger et exécuter des programmes contenant du code malveillant. La coopération de plusieurs comptes GitHub a accru la crédibilité et la portée de la propagation de l'attaque.

Pour prévenir des attaques similaires, il est recommandé aux développeurs et aux utilisateurs de rester très vigilants face aux projets GitHub d'origine inconnue, en particulier ceux impliquant des opérations de portefeuille ou de clé privée. En cas de débogage, il est préférable de le faire dans un environnement isolé et sans données sensibles.

Cet événement implique plusieurs dépôts GitHub malveillants et des paquets NPM. L'équipe de sécurité a rassemblé des informations pertinentes, y compris plusieurs liens de projets GitHub suspects, des noms de paquets NPM malveillants et leurs liens de téléchargement, ainsi que l'adresse du serveur de téléchargement de données utilisé par les attaquants. Ces informations sont cruciales pour identifier et prévenir des attaques similaires.