This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
ソラナユーザーが悪意のあるNPMパッケージ攻撃に遭い、秘密鍵が盗まれた事件の分析
ソラナユーザー資産が盗まれる:悪意のあるNPMパッケージによる秘密鍵窃取事件の分析
2025年7月2日、一人のユーザーがセキュリティチームに助けを求め、暗号資産が盗まれた理由の分析を希望しました。調査の結果、この事件はそのユーザーがGitHubにホスティングされたオープンソースプロジェクトsolana-pumpfun-botを使用していたことに起因していました。
安全チームは直ちに調査を開始しました。プロジェクトのGitHubリポジトリにアクセスしたところ、このプロジェクトはStarとForkの数が多いものの、コードのコミット時間が異常に集中しており、継続的な更新の特徴が欠けていることがわかりました。
! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる
さらなる分析により、このNode.jsプロジェクトがcrypto-layout-utilsという名前の疑わしいサードパーティパッケージを参照していることがわかりました。この依存パッケージは公式に削除されており、package.jsonで指定されたバージョンはNPMの公式履歴には存在しません。
! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる
package-lock.jsonファイル内で、研究者は攻撃者がcrypto-layout-utilsのダウンロードリンクをGitHubリポジトリのリリースダウンロードアドレスに置き換えたことを発見しました。この高度に難読化された依存パッケージをダウンロードして分析した後、これは悪意のあるNPMパッケージであることが確認されました。
! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる
この悪意のあるパッケージはユーザーのコンピュータファイルをスキャンし、ウォレットや秘密鍵に関連する内容が見つかった場合、攻撃者が制御するサーバーにアップロードします。攻撃者は複数のGitHubアカウントを制御している可能性もあり、悪意のあるプログラムを配布し、プロジェクトの信頼性を高めるために使用します。
! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる
crypto-layout-utilsを除いて、bs58-encrypt-utilsという別の悪意のあるパッケージが発見されました。これらの悪意のあるパッケージは2025年6月中旬から配布が始まり、その後NPMパッケージのダウンロードリンクを置き換える方法で引き続き拡散されました。
! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれます
! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる
チェーン上の分析ツールを通じて追跡した結果、一部の盗まれた資金がある取引所に移転されていることが判明しました。
! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaユーザー資産が盗まれる
! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる
! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる
! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる
今回の攻撃は、合法的なオープンソースプロジェクトを装い、ユーザーに悪意のある依存関係を含むコードをダウンロードして実行させることで、ウォレットの秘密鍵を盗み取るものです。攻撃者は複数のGitHubアカウントを使用して協力し、拡散範囲を広げ、信頼性を高めており、非常に強い欺瞞性を持っています。
開発者とユーザーは、特にウォレットや秘密鍵の操作に関わる場合、出所不明のGitHubプロジェクトに対して高い警戒心を持つことをお勧めします。デバッグが必要な場合は、独立した敏感データのない環境で行うのが最良です。
! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる