Пользователи Solana стали жертвами кражи активов: злонамеренный пакет NPM украл Закрытый ключ

Недавно инцидент с кражей активов пользователей Solana привлек внимание специалистов по безопасности. Инцидент возник из-за открытого проекта, размещенного на GitHub, который содержал вредоносный NPM пакет, способный украсть информацию о закрытых ключах пользователей.

Событие началось 2 июля 2025 года, когда один из пользователей, воспользовавшись проектом на GitHub под названием "solana-pumpfun-bot", обнаружил, что его криптоактивы были украдены. Команда безопасности немедленно начала расследование и обнаружила несколько подозрительных моментов в этом проекте.

Во-первых, обновления кода проекта были сосредоточены на три недели назад, что свидетельствует о недостаточной поддержке. Во-вторых, проект зависит от стороннего пакета под названием "crypto-layout-utils", который был удален из официального NPM, и указанная версия не присутствует в официальной истории NPM.

Дальнейшее расследование показало, что злоумышленник заменил ссылку на загрузку crypto-layout-utils в файле package-lock.json, указав на файл в репозитории GitHub. Этот файл был сильно замаскирован, что усложнило анализ.

После декодирования команда безопасности подтвердила, что это вредоносный пакет NPM. Он может сканировать файлы на компьютере пользователя в поисках информации, связанной с кошельками или Закрытыми ключами, и загружать найденную конфиденциальную информацию на сервер, контролируемый злоумышленником.

Похоже, что злоумышленник контролирует несколько аккаунтов GitHub, чтобы распространять вредоносные программы и увеличивать количество звезд и форков проектов, чтобы привлечь больше пользователей. Кроме crypto-layout-utils, другой вредоносный пакет под названием bs58-encrypt-utils также использовался для аналогичных атак.

С помощью инструментов анализа в блокчейне команда безопасности отследила, что часть украденных средств была переведена на одну из торговых платформ.

Этот инцидент с атакой выявил скрытые риски безопасности в открытых проектах. Злоумышленники, маскируясь под легитимные проекты, заставляют пользователей загружать и запускать программы с вредоносным кодом. Синхронизированное действие нескольких аккаунтов GitHub увеличивает доверие к атаке и диапазон её распространения.

Чтобы предотвратить подобные атаки, рекомендуется разработчикам и пользователям проявлять повышенную бдительность в отношении проектов на GitHub с неопознанным источником, особенно тех, которые связаны с операциями с кошельками или Закрытым ключом. Если необходимо отладить, лучше делать это в независимой среде, не содержащей конфиденциальные данные.

Это событие связано с несколькими вредоносными репозиториями GitHub и пакетами NPM. Команда безопасности собрала соответствующую информацию, включая несколько подозрительных ссылок на проекты GitHub, названия вредоносных пакетов NPM и их ссылки для загрузки, а также адреса серверов для загрузки данных, используемых злоумышленниками. Эта информация имеет решающее значение для выявления и предотвращения подобных атак.