Análisis del evento de robo de activos de usuarios de Solana: un paquete NPM malicioso roba la Llave privada

El 2 de julio de 2025, un usuario pidió ayuda al equipo de seguridad, esperando analizar la razón por la que sus activos criptográficos fueron robados. Tras la investigación, el incidente se originó en el uso que hizo el usuario de un proyecto de código abierto alojado en GitHub llamado solana-pumpfun-bot.

El equipo de seguridad inició inmediatamente una investigación. Después de acceder al repositorio de GitHub del proyecto, se descubrió que, aunque el número de estrellas y bifurcaciones era bastante alto, los tiempos de envío de código eran anómalamente concentrados, careciendo de características de actualizaciones continuas.

Un análisis más detallado revela que este proyecto de Node.js hace referencia a un paquete de terceros sospechoso llamado crypto-layout-utils. Este paquete de dependencia ha sido retirado oficialmente y la versión especificada en package.json no aparece en el historial oficial de NPM.

En el archivo package-lock.json, los investigadores encontraron que los atacantes habían reemplazado el enlace de descarga de crypto-layout-utils por la dirección de descarga de un release de un repositorio de GitHub. Después de descargar y analizar este paquete de dependencia altamente ofuscado, se confirmó que se trataba de un paquete NPM malicioso.

Este paquete malicioso escaneará los archivos del ordenador del usuario y, si encuentra contenido relacionado con billeteras o llaves privadas, lo subirá a un servidor controlado por el atacante. El atacante también puede controlar múltiples cuentas de GitHub para distribuir programas maliciosos y aumentar la credibilidad del proyecto.

Además de crypto-layout-utils, se descubrió otro paquete malicioso llamado bs58-encrypt-utils. Estos paquetes maliciosos comenzaron a distribuirse a mediados de junio de 2025 y luego continuaron propagándose cambiando el enlace de descarga del paquete NPM.

A través de herramientas de análisis en la cadena, se ha descubierto que parte de los fondos robados han sido transferidos a una plataforma de intercambio.

El ataque se llevó a cabo disfrazando proyectos de código abierto legítimos, induciendo a los usuarios a descargar y ejecutar códigos con dependencias maliciosas, lo que permite robar la llave privada de la billetera. Los atacantes utilizaron múltiples cuentas de GitHub para operar en conjunto, ampliando el alcance de la propagación y aumentando su credibilidad, lo que presenta un alto grado de engaño.

Se recomienda que los desarrolladores y usuarios mantengan una alta vigilancia sobre proyectos de GitHub de origen desconocido, especialmente aquellos que involucren operaciones con billeteras o Llave privada. Si es necesario depurar, lo mejor es hacerlo en un entorno independiente y sin datos sensibles.