Projetos maliciosos de Node.js utilizam pacotes NPM para roubar chaves privadas de usuários Solana
No início de julho de 2025, um incidente de roubo de ativos direcionado a usuários de Solana chamou a atenção dos especialistas em segurança. Uma vítima, após usar o projeto de código aberto "solana-pumpfun-bot" hospedado no GitHub, descobriu que seus ativos criptográficos haviam sido roubados.
Após a investigação da equipe de segurança, descobriu-se que o projeto era, na verdade, uma armadilha cuidadosamente elaborada. Embora o número de estrelas e forks do projeto seja alto, o tempo de envio do código é anormalmente concentrado, faltando as características de atualizações contínuas que um projeto normal deveria ter.
Uma análise aprofundada revelou que o projeto depende de um pacote de terceiros suspeito chamado "crypto-layout-utils". Este pacote foi removido oficialmente do NPM e a versão especificada não aparece no histórico oficial. O atacante contornou o mecanismo de segurança do NPM substituindo o link de download no arquivo package-lock.json.
Após baixar e analisar este pacote malicioso altamente ofuscado, a equipe de segurança confirmou que ele pode escanear os arquivos do computador do usuário e, ao detectar conteúdos relacionados a carteiras ou Chave privada, os envia para um servidor controlado pelo atacante.
Além disso, os atacantes podem ter controlado várias contas do GitHub para distribuir programas maliciosos e aumentar a credibilidade do projeto. Alguns projetos Fork também usaram outro pacote malicioso "bs58-encrypt-utils".
Através da análise on-chain, os especialistas descobriram que os fundos roubados foram transferidos para uma determinada plataforma de negociação.
Este incidente destaca o perigo de códigos maliciosos ocultos em projetos de código aberto. Os atacantes aproveitaram projetos legítimos disfarçados e uma popularidade exagerada para induzir com sucesso os usuários a executarem projetos Node.js com dependências maliciosas, resultando em vazamento de Chave privada e roubo de ativos.
Especialistas em segurança aconselham os desenvolvedores e usuários a manterem uma alta vigilância sobre projetos do GitHub de origem desconhecida, especialmente quando se trata de operações com carteiras ou Chave privada. Se for necessário depurar, é melhor fazê-lo em um ambiente isolado e sem dados sensíveis.
Este tipo de ataque combina engenharia social e técnicas tecnológicas, tornando difícil a defesa completa mesmo dentro da organização. Os usuários devem ser cautelosos ao usar projetos de código aberto para proteger a segurança de seus ativos.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
Pacotes NPM maliciosos disfarçados de projetos Solana roubam chaves privadas dos usuários, gerando alerta de segurança
Projetos maliciosos de Node.js utilizam pacotes NPM para roubar chaves privadas de usuários Solana
No início de julho de 2025, um incidente de roubo de ativos direcionado a usuários de Solana chamou a atenção dos especialistas em segurança. Uma vítima, após usar o projeto de código aberto "solana-pumpfun-bot" hospedado no GitHub, descobriu que seus ativos criptográficos haviam sido roubados.
Após a investigação da equipe de segurança, descobriu-se que o projeto era, na verdade, uma armadilha cuidadosamente elaborada. Embora o número de estrelas e forks do projeto seja alto, o tempo de envio do código é anormalmente concentrado, faltando as características de atualizações contínuas que um projeto normal deveria ter.
Uma análise aprofundada revelou que o projeto depende de um pacote de terceiros suspeito chamado "crypto-layout-utils". Este pacote foi removido oficialmente do NPM e a versão especificada não aparece no histórico oficial. O atacante contornou o mecanismo de segurança do NPM substituindo o link de download no arquivo package-lock.json.
Após baixar e analisar este pacote malicioso altamente ofuscado, a equipe de segurança confirmou que ele pode escanear os arquivos do computador do usuário e, ao detectar conteúdos relacionados a carteiras ou Chave privada, os envia para um servidor controlado pelo atacante.
Além disso, os atacantes podem ter controlado várias contas do GitHub para distribuir programas maliciosos e aumentar a credibilidade do projeto. Alguns projetos Fork também usaram outro pacote malicioso "bs58-encrypt-utils".
Através da análise on-chain, os especialistas descobriram que os fundos roubados foram transferidos para uma determinada plataforma de negociação.
Este incidente destaca o perigo de códigos maliciosos ocultos em projetos de código aberto. Os atacantes aproveitaram projetos legítimos disfarçados e uma popularidade exagerada para induzir com sucesso os usuários a executarem projetos Node.js com dependências maliciosas, resultando em vazamento de Chave privada e roubo de ativos.
Especialistas em segurança aconselham os desenvolvedores e usuários a manterem uma alta vigilância sobre projetos do GitHub de origem desconhecida, especialmente quando se trata de operações com carteiras ou Chave privada. Se for necessário depurar, é melhor fazê-lo em um ambiente isolado e sem dados sensíveis.
Este tipo de ataque combina engenharia social e técnicas tecnológicas, tornando difícil a defesa completa mesmo dentro da organização. Os usuários devem ser cautelosos ao usar projetos de código aberto para proteger a segurança de seus ativos.