Análisis del incidente de robo de llaves privadas a usuarios de Solana mediante paquetes NPM maliciosos
A principios de julio de 2025, un usuario de Solana pidió ayuda al equipo de seguridad, afirmando que después de utilizar un proyecto de código abierto en GitHub, sus activos criptográficos fueron robados. Tras la investigación, se descubrió que se trataba de un ataque que utilizaba un paquete NPM malicioso para robar la llave privada del usuario.
Desarrollo del evento
La víctima utilizó un proyecto de GitHub llamado solana-pumpfun-bot, que parecía normal y tenía un alto número de estrellas y bifurcaciones. Sin embargo, la última actualización del código del proyecto se concentró hace tres semanas, careciendo de características de actualización continua.
Un análisis más profundo revela que el proyecto depende de un paquete de terceros sospechoso llamado crypto-layout-utils. Este paquete ha sido retirado de NPM y la versión especificada no tiene historial. Resulta que los atacantes modificaron el archivo package-lock.json para redirigir el enlace de descarga del paquete de dependencia a un repositorio de GitHub que controlan.
Análisis de paquetes maliciosos
El equipo de seguridad descargó y analizó el paquete sospechoso crypto-layout-utils-1.3.1, y descubrió que su código estaba altamente ofuscado. Tras la ofuscación, se confirmó que se trataba de un paquete NPM malicioso que escanea archivos sensibles en la computadora del usuario, y si encuentra contenido relacionado con billeteras o Llave privada, lo sube al servidor del atacante.
Métodos de ataque
Los atacantes pueden haber controlado múltiples cuentas de GitHub para distribuir malware y aumentar la popularidad de los proyectos. Se disfrazan de proyectos de código abierto legítimos, engañando a los usuarios para que descarguen y ejecuten código de Node.js con dependencias maliciosas, robando así la Llave privada.
Además, se descubrió otro paquete malicioso bs58-encrypt-utils-1.0.3, se sospecha que la actividad de ataque podría haber comenzado a mediados de junio de 2025.
Destino de los fondos
A través de herramientas de análisis en cadena, se ha descubierto que parte de los fondos robados han sido transferidos a una plataforma de intercambio.
Sugerencias de seguridad
Mantente alerta ante proyectos de GitHub de origen desconocido, especialmente aquellos que involucren operaciones de billetera.
Ejecutar y depurar proyectos desconocidos en un entorno aislado si es necesario.
Los desarrolladores deben revisar cuidadosamente las dependencias de terceros y estar alerta ante paquetes o enlaces de descarga sospechosos.
Revisar y actualizar periódicamente las dependencias del proyecto, eliminando a tiempo los componentes que presenten riesgos de seguridad.
Utilizar herramientas de seguridad confiables para escanear regularmente el código del proyecto y detectar amenazas potenciales a tiempo.
Este incidente vuelve a demostrar que los atacantes están innovando constantemente en sus métodos para lanzar ataques contra el ecosistema de código abierto. Tanto los desarrolladores como los usuarios deben aumentar la conciencia de seguridad y trabajar juntos para mantener un entorno de código abierto saludable.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
12 me gusta
Recompensa
12
4
Republicar
Compartir
Comentar
0/400
GateUser-40edb63b
· hace9h
trampa fórmula retiro estafa tampoco es novedoso
Ver originalesResponder0
MidnightSeller
· hace9h
Entendido, amigo.
Ver originalesResponder0
PumpStrategist
· hace9h
El mercado ya tenía señales. No se aprende la lección de lo que se recibe gratis.
El ecosistema de Solana vuelve a ser víctima del robo de llaves privadas, un paquete NPM malicioso se disfraza de proyecto de código abierto.
Análisis del incidente de robo de llaves privadas a usuarios de Solana mediante paquetes NPM maliciosos
A principios de julio de 2025, un usuario de Solana pidió ayuda al equipo de seguridad, afirmando que después de utilizar un proyecto de código abierto en GitHub, sus activos criptográficos fueron robados. Tras la investigación, se descubrió que se trataba de un ataque que utilizaba un paquete NPM malicioso para robar la llave privada del usuario.
Desarrollo del evento
La víctima utilizó un proyecto de GitHub llamado solana-pumpfun-bot, que parecía normal y tenía un alto número de estrellas y bifurcaciones. Sin embargo, la última actualización del código del proyecto se concentró hace tres semanas, careciendo de características de actualización continua.
Un análisis más profundo revela que el proyecto depende de un paquete de terceros sospechoso llamado crypto-layout-utils. Este paquete ha sido retirado de NPM y la versión especificada no tiene historial. Resulta que los atacantes modificaron el archivo package-lock.json para redirigir el enlace de descarga del paquete de dependencia a un repositorio de GitHub que controlan.
Análisis de paquetes maliciosos
El equipo de seguridad descargó y analizó el paquete sospechoso crypto-layout-utils-1.3.1, y descubrió que su código estaba altamente ofuscado. Tras la ofuscación, se confirmó que se trataba de un paquete NPM malicioso que escanea archivos sensibles en la computadora del usuario, y si encuentra contenido relacionado con billeteras o Llave privada, lo sube al servidor del atacante.
Métodos de ataque
Los atacantes pueden haber controlado múltiples cuentas de GitHub para distribuir malware y aumentar la popularidad de los proyectos. Se disfrazan de proyectos de código abierto legítimos, engañando a los usuarios para que descarguen y ejecuten código de Node.js con dependencias maliciosas, robando así la Llave privada.
Además, se descubrió otro paquete malicioso bs58-encrypt-utils-1.0.3, se sospecha que la actividad de ataque podría haber comenzado a mediados de junio de 2025.
Destino de los fondos
A través de herramientas de análisis en cadena, se ha descubierto que parte de los fondos robados han sido transferidos a una plataforma de intercambio.
Sugerencias de seguridad
Mantente alerta ante proyectos de GitHub de origen desconocido, especialmente aquellos que involucren operaciones de billetera.
Ejecutar y depurar proyectos desconocidos en un entorno aislado si es necesario.
Los desarrolladores deben revisar cuidadosamente las dependencias de terceros y estar alerta ante paquetes o enlaces de descarga sospechosos.
Revisar y actualizar periódicamente las dependencias del proyecto, eliminando a tiempo los componentes que presenten riesgos de seguridad.
Utilizar herramientas de seguridad confiables para escanear regularmente el código del proyecto y detectar amenazas potenciales a tiempo.
Este incidente vuelve a demostrar que los atacantes están innovando constantemente en sus métodos para lanzar ataques contra el ecosistema de código abierto. Tanto los desarrolladores como los usuarios deben aumentar la conciencia de seguridad y trabajar juntos para mantener un entorno de código abierto saludable.