Analyse de l'incident de vol de clés privées par un package NPM malveillant des actifs des utilisateurs de Solana

Le 2 juillet 2025, un utilisateur a demandé de l'aide à l'équipe de sécurité, espérant analyser les raisons pour lesquelles ses actifs cryptographiques avaient été volés. Après enquête, l'incident provenait de l'utilisation par cet utilisateur d'un projet open source hébergé sur GitHub, solana-pumpfun-bot.

L'équipe de sécurité a immédiatement lancé une enquête. Après avoir consulté le dépôt GitHub du projet, il a été constaté que bien que le nombre d'étoiles et de forks soit élevé, les dates de soumission du code sont anormalement concentrées, manquant de caractéristiques de mise à jour continue.

Une analyse plus approfondie a révélé que ce projet Node.js faisait appel à un package tiers suspect nommé crypto-layout-utils. Ce package de dépendance a été retiré par les autorités, et la version spécifiée dans le fichier package.json n'apparaît pas dans l'historique officiel de NPM.

Dans le fichier package-lock.json, les chercheurs ont découvert que les attaquants avaient remplacé le lien de téléchargement de crypto-layout-utils par l'adresse de téléchargement de la release d'un dépôt GitHub. Après avoir téléchargé et analysé ce paquet de dépendances fortement obscurci, il a été confirmé qu'il s'agissait d'un paquet NPM malveillant.

Ce package malveillant va scanner les fichiers de l'ordinateur de l'utilisateur, et s'il trouve des contenus liés à des portefeuilles ou à des clés privées, il les télécharge sur un serveur contrôlé par l'attaquant. L'attaquant peut également avoir contrôlé plusieurs comptes GitHub pour distribuer des programmes malveillants et augmenter la crédibilité du projet.

En plus de crypto-layout-utils, un autre paquet malveillant nommé bs58-encrypt-utils a également été découvert. Ces paquets malveillants ont commencé à être distribués à partir de la mi-juin 2025, puis ont continué à se propager en remplaçant les liens de téléchargement des paquets NPM.

Grâce aux outils d'analyse on-chain, il a été découvert qu'une partie des fonds volés a été transférée vers une certaine plateforme d'échange.

Cette attaque a utilisé des projets open source légitimes déguisés pour inciter les utilisateurs à télécharger et exécuter du code contenant des dépendances malveillantes, afin de voler les clés privées du portefeuille. Les attaquants ont collaboré en utilisant plusieurs comptes GitHub pour étendre la portée de la propagation et améliorer la crédibilité, ce qui rend l'attaque très trompeuse.

Il est recommandé aux développeurs et aux utilisateurs de rester très vigilants à l'égard des projets GitHub d'origine inconnue, en particulier ceux qui impliquent des opérations de portefeuille ou de clé privée. En cas de débogage, il est préférable de le faire dans un environnement isolé et sans données sensibles.