Tài sản người dùng Solana bị đánh cắp, gói NPM độc hại ẩn chứa chức năng đánh cắp khóa riêng
Vào đầu tháng 7 năm 2025, một người dùng tiền điện tử đã yêu cầu sự trợ giúp từ đội ngũ an ninh, cho biết rằng tài sản trong ví của họ đã bị đánh cắp sau khi sử dụng một dự án mã nguồn mở có tên là solana-pumpfun-bot trên GitHub. Sau một cuộc điều tra sâu sắc, các chuyên gia an ninh đã tiết lộ một sự kiện tấn công được lên kế hoạch kỹ lưỡng.
Các điều tra viên đầu tiên đã kiểm tra dự án GitHub này và phát hiện thời gian gửi mã của nó tập trung bất thường, thiếu đặc điểm cập nhật liên tục. Phân tích thêm về các phụ thuộc của dự án, họ phát hiện một gói bên thứ ba đáng ngờ là crypto-layout-utils. Gói này đã bị NPM chính thức gỡ bỏ và phiên bản chỉ định không có trong lịch sử chính thức.
Bằng cách kiểm tra tệp package-lock.json, các chuyên gia phát hiện ra rằng kẻ tấn công đã khéo léo thay thế liên kết tải xuống của crypto-layout-utils bằng một tệp trong kho GitHub. Gói bị thay thế này đã được làm rối một cách cao độ, làm tăng độ khó trong việc phân tích. Cuối cùng xác nhận, đây là một gói NPM độc hại, có khả năng quét các tệp nhạy cảm trên máy tính của người dùng và tải lên khóa riêng ví mà nó phát hiện đến máy chủ do kẻ tấn công kiểm soát.
Cuộc điều tra cũng phát hiện ra rằng kẻ tấn công có thể đã kiểm soát nhiều tài khoản GitHub để phát tán phần mềm độc hại và nâng cao độ tin cậy của dự án. Họ đã sử dụng các thao tác như Fork và Star để tăng độ nổi bật của dự án, khiến nhiều người dùng hơn tải xuống và sử dụng. Một số dự án Fork còn sử dụng một gói độc hại khác là bs58-encrypt-utils-1.0.3.
Cuộc tấn công này kết hợp giữa kỹ thuật xã hội và công nghệ, có tính lừa đảo rất cao. Kẻ tấn công giả mạo thành một dự án mã nguồn mở hợp pháp, lợi dụng niềm tin của người dùng vào các dự án trên GitHub, dụ dỗ họ tải xuống và chạy mã chứa các phụ thuộc độc hại, cuối cùng dẫn đến việc rò rỉ khóa riêng và tài sản bị đánh cắp.
Các chuyên gia an ninh khuyên rằng các nhà phát triển và người dùng nên giữ cảnh giác cao đối với các dự án GitHub không rõ nguồn gốc, đặc biệt là khi liên quan đến việc thao tác ví hoặc khóa riêng. Nếu cần gỡ lỗi các dự án như vậy, tốt nhất nên thực hiện trong một môi trường độc lập và không chứa dữ liệu nhạy cảm.
Sự kiện này nhấn mạnh những thách thức an ninh mà cộng đồng mã nguồn mở đang phải đối mặt, nhắc nhở chúng ta cần đặc biệt thận trọng khi sử dụng mã của bên thứ ba, đồng thời cũng kêu gọi tăng cường quản lý an ninh đối với hệ sinh thái mã nguồn mở.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
11 thích
Phần thưởng
11
6
Chia sẻ
Bình luận
0/400
GamefiEscapeArtist
· 17giờ trước
Thời buổi này, dự án không kiểm tra hàng hóa sao?
Xem bản gốcTrả lời0
Web3ProductManager
· 17giờ trước
không nói dối, những chỉ số giữ chân này về các cuộc tấn công sol npm đang trở nên điên rồ... tỷ lệ người dùng rời bỏ đạt 100% chỉ trong vài giờ thật sự.
Xem bản gốcTrả lời0
VirtualRichDream
· 17giờ trước
Không biết nói gì nữa, đồ ngốc thật dễ chơi đùa với mọi người.
Xem bản gốcTrả lời0
NFTFreezer
· 17giờ trước
Lại lại lại, lại đến ăn cắp tiền rồi.
Xem bản gốcTrả lời0
FlashLoanKing
· 17giờ trước
Chạy thôi chạy thôi, nhìn mà thấy rợn người.
Xem bản gốcTrả lời0
MEVSupportGroup
· 17giờ trước
Những người ăn không ngồi rồi lại gặp xui xẻo rồi.
Ví tiền Solana遭遇NPM恶意包攻击 隐藏Khóa riêng窃取功能
Tài sản người dùng Solana bị đánh cắp, gói NPM độc hại ẩn chứa chức năng đánh cắp khóa riêng
Vào đầu tháng 7 năm 2025, một người dùng tiền điện tử đã yêu cầu sự trợ giúp từ đội ngũ an ninh, cho biết rằng tài sản trong ví của họ đã bị đánh cắp sau khi sử dụng một dự án mã nguồn mở có tên là solana-pumpfun-bot trên GitHub. Sau một cuộc điều tra sâu sắc, các chuyên gia an ninh đã tiết lộ một sự kiện tấn công được lên kế hoạch kỹ lưỡng.
Các điều tra viên đầu tiên đã kiểm tra dự án GitHub này và phát hiện thời gian gửi mã của nó tập trung bất thường, thiếu đặc điểm cập nhật liên tục. Phân tích thêm về các phụ thuộc của dự án, họ phát hiện một gói bên thứ ba đáng ngờ là crypto-layout-utils. Gói này đã bị NPM chính thức gỡ bỏ và phiên bản chỉ định không có trong lịch sử chính thức.
Bằng cách kiểm tra tệp package-lock.json, các chuyên gia phát hiện ra rằng kẻ tấn công đã khéo léo thay thế liên kết tải xuống của crypto-layout-utils bằng một tệp trong kho GitHub. Gói bị thay thế này đã được làm rối một cách cao độ, làm tăng độ khó trong việc phân tích. Cuối cùng xác nhận, đây là một gói NPM độc hại, có khả năng quét các tệp nhạy cảm trên máy tính của người dùng và tải lên khóa riêng ví mà nó phát hiện đến máy chủ do kẻ tấn công kiểm soát.
Cuộc điều tra cũng phát hiện ra rằng kẻ tấn công có thể đã kiểm soát nhiều tài khoản GitHub để phát tán phần mềm độc hại và nâng cao độ tin cậy của dự án. Họ đã sử dụng các thao tác như Fork và Star để tăng độ nổi bật của dự án, khiến nhiều người dùng hơn tải xuống và sử dụng. Một số dự án Fork còn sử dụng một gói độc hại khác là bs58-encrypt-utils-1.0.3.
Cuộc tấn công này kết hợp giữa kỹ thuật xã hội và công nghệ, có tính lừa đảo rất cao. Kẻ tấn công giả mạo thành một dự án mã nguồn mở hợp pháp, lợi dụng niềm tin của người dùng vào các dự án trên GitHub, dụ dỗ họ tải xuống và chạy mã chứa các phụ thuộc độc hại, cuối cùng dẫn đến việc rò rỉ khóa riêng và tài sản bị đánh cắp.
Các chuyên gia an ninh khuyên rằng các nhà phát triển và người dùng nên giữ cảnh giác cao đối với các dự án GitHub không rõ nguồn gốc, đặc biệt là khi liên quan đến việc thao tác ví hoặc khóa riêng. Nếu cần gỡ lỗi các dự án như vậy, tốt nhất nên thực hiện trong một môi trường độc lập và không chứa dữ liệu nhạy cảm.
Sự kiện này nhấn mạnh những thách thức an ninh mà cộng đồng mã nguồn mở đang phải đối mặt, nhắc nhở chúng ta cần đặc biệt thận trọng khi sử dụng mã của bên thứ ba, đồng thời cũng kêu gọi tăng cường quản lý an ninh đối với hệ sinh thái mã nguồn mở.