Người dùng Solana遭遇盗窃: Gói NPM độc hại đánh cắp Khóa riêng

Gần đây, một vụ trộm tài sản nhắm vào người dùng Solana đã thu hút sự chú ý của các chuyên gia an ninh. Vụ việc bắt nguồn từ một dự án mã nguồn mở được lưu trữ trên GitHub, trong đó chứa các gói NPM độc hại có khả năng đánh cắp thông tin khóa riêng của người dùng.

Sự kiện bắt đầu vào ngày 2 tháng 7 năm 2025, một người dùng sau khi sử dụng dự án GitHub có tên "solana-pumpfun-bot" đã phát hiện tài sản tiền điện tử của mình bị đánh cắp. Nhóm an ninh ngay lập tức tiến hành điều tra và phát hiện dự án này có nhiều điểm khả nghi.

Đầu tiên, mã nguồn của dự án đã được cập nhật cách đây ba tuần, thiếu đặc điểm bảo trì liên tục. Thứ hai, dự án phụ thuộc vào một gói bên thứ ba có tên "crypto-layout-utils", gói này đã bị NPM chính thức gỡ bỏ, và phiên bản được chỉ định không xuất hiện trong lịch sử chính thức của NPM.

Cuộc điều tra sâu hơn cho thấy, kẻ tấn công đã thay thế liên kết tải xuống của crypto-layout-utils trong tệp package-lock.json, chỉ đến một tệp trong kho GitHub. Tệp này đã được làm mờ cao độ, tăng độ khó phân tích.

Sau khi giải mã, đội ngũ an ninh xác nhận đây là một gói NPM độc hại. Nó có khả năng quét các tệp trên máy tính của người dùng, tìm kiếm các nội dung liên quan đến ví hoặc Khóa riêng, và tải thông tin nhạy cảm mà nó phát hiện lên máy chủ do kẻ tấn công kiểm soát.

Các kẻ tấn công dường như đã kiểm soát nhiều tài khoản GitHub để phân phối phần mềm độc hại và tăng số lượng Star và Fork của các dự án, nhằm thu hút nhiều người dùng hơn. Ngoài crypto-layout-utils, một gói độc hại khác có tên bs58-encrypt-utils cũng đã được sử dụng cho các cuộc tấn công tương tự.

Thông qua công cụ phân tích trên chuỗi, đội ngũ an ninh đã theo dõi được một phần tài sản bị đánh cắp đã chảy vào một nền tảng giao dịch nào đó.

Sự kiện tấn công lần này đã tiết lộ những rủi ro bảo mật tiềm ẩn trong các dự án mã nguồn mở. Kẻ tấn công đã ngụy trang dưới dạng dự án hợp pháp, dụ dỗ người dùng tải xuống và chạy các chương trình có mã độc. Việc hợp tác của nhiều tài khoản GitHub đã làm tăng độ tin cậy và phạm vi lây lan của cuộc tấn công.

Để phòng ngừa các cuộc tấn công tương tự, các nhà phát triển và người dùng được khuyến nghị giữ cảnh giác cao đối với các dự án GitHub có nguồn gốc không rõ ràng, đặc biệt là những dự án liên quan đến ví hoặc Khóa riêng. Nếu cần gỡ lỗi, tốt nhất là thực hiện trong một môi trường độc lập và không có dữ liệu nhạy cảm.

Sự kiện này liên quan đến nhiều kho GitHub độc hại và gói NPM. Nhóm an ninh đã tổng hợp thông tin liên quan, bao gồm nhiều liên kết dự án GitHub nghi ngờ, tên gói NPM độc hại cùng với liên kết tải xuống của chúng, cũng như địa chỉ máy chủ tải dữ liệu mà kẻ tấn công đã sử dụng. Những thông tin này rất quan trọng để xác định và ngăn chặn các cuộc tấn công tương tự.