Користувачі Solana зазнали викрадення активів: зловмисний пакет NPM викрав Закритий ключ

Нещодавно інцидент крадіжки активів користувачів Solana привернув увагу експертів з безпеки. Інцидент стався через відкритий проект, розміщений на GitHub, який містить шкідливий NPM пакет, здатний викрадати інформацію про закриті ключі користувачів.

Подія почалася 2 липня 2025 року, коли один із користувачів, використовуючи проект GitHub під назвою "solana-pumpfun-bot", виявив, що його криптоактиви були вкрадені. Команда безпеки невідкладно розпочала розслідування і виявила кілька підозрілих моментів у цьому проекті.

По-перше, оновлення коду проєкту зосереджено на три тижні тому, що свідчить про відсутність постійного обслуговування. По-друге, проєкт залежить від стороннього пакету під назвою "crypto-layout-utils", який був видалений з NPM, і зазначена версія не з'являється в офіційній історії NPM.

Подальше розслідування виявило, що зловмисники замінили посилання для завантаження crypto-layout-utils у файлі package-lock.json, вказавши на файл у репозиторії GitHub. Цей файл був сильно заплутаним, що ускладнювало аналіз.

Після розуміння ситуації команда безпеки підтвердила, що це шкідливий пакет NPM. Він може сканувати файли на комп'ютері користувача в пошуках вмісту, пов'язаного з гаманцем або Закритим ключем, і завантажувати виявлену чутливу інформацію на сервер, контрольований зловмисником.

Здається, що зловмисник контролює кілька облікових записів GitHub, які використовуються для розповсюдження шкідливого ПЗ та підвищення кількості зірок і форків проекту, щоб залучити більше користувачів. Окрім crypto-layout-utils, ще один шкідливий пакет під назвою bs58-encrypt-utils також використовувався для подібних атак.

За допомогою інструментів аналізу блокчейну команда безпеки відстежила, що частина вкрадених коштів потрапила на одну з торгових платформ.

Ця атака виявила приховані ризики безпеки у відкритих проектах. Зловмисники маскувалися під легітимні проекти, спокушаючи користувачів завантажувати та запускати програми з шкідливим кодом. Спільні дії кількох облікових записів GitHub підвищили достовірність атаки та її сферу розповсюдження.

Щоб запобігти подібним атакам, рекомендується розробникам і користувачам бути дуже обережними з проектами GitHub з невідомим джерелом, особливо з проектами, що стосуються гаманців або Закритий ключ. Якщо потрібно налагодження, найкраще проводити його в ізольованому середовищі без чутливих даних.

Ця подія пов'язана з кількома шкідливими репозиторіями GitHub та пакетами NPM. Команда безпеки зібрала відповідну інформацію, включаючи кілька підозрілих посилань на проекти GitHub, назви шкідливих пакетів NPM та їх посилання для завантаження, а також адреси серверів для завантаження даних, які використовувалися зловмисниками. Ця інформація є критично важливою для виявлення та запобігання подібним атакам.