Análise do incidente de roubo de Chave privada dos ativos dos usuários Solana: pacotes NPM maliciosos

No dia 2 de julho de 2025, um usuário solicitou ajuda à equipe de segurança, desejando analisar a razão pela qual seus ativos criptográficos foram roubados. Após investigação, o incidente originou-se do fato de que o usuário utilizou um projeto de código aberto hospedado no GitHub chamado solana-pumpfun-bot.

A equipe de segurança imediatamente iniciou uma investigação. Após acessar o repositório GitHub do projeto, descobriu-se que, embora o número de Stars e Forks seja elevado, os tempos de submissão de código são anormalmente concentrados, faltando características de atualizações contínuas.

Uma análise mais aprofundada revelou que o projeto Node.js referenciava um pacote de terceiros suspeito chamado crypto-layout-utils. Este pacote de dependência foi removido oficialmente e a versão especificada no package.json não aparece no histórico oficial do NPM.

No arquivo package-lock.json, os investigadores descobriram que os atacantes substituíram o link de download do crypto-layout-utils por um endereço de download de release de um repositório do GitHub. Após baixar e analisar este pacote de dependência altamente ofuscado, foi confirmado que se trata de um pacote NPM malicioso.

Este pacote malicioso irá escanear os arquivos do computador do usuário, e se encontrar conteúdo relacionado a carteiras ou Chave privada, fará o upload para um servidor controlado pelo atacante. O atacante também pode controlar várias contas do GitHub para distribuir programas maliciosos e aumentar a credibilidade do projeto.

Além do crypto-layout-utils, foi encontrado outro pacote malicioso chamado bs58-encrypt-utils. Esses pacotes maliciosos começaram a ser distribuídos a partir de meados de junho de 2025 e, posteriormente, continuaram a se espalhar substituindo os links de download dos pacotes NPM.

Através de ferramentas de análise em cadeia, foi descoberto que parte dos fundos roubados já foi transferida para uma determinada plataforma de negociação.

O ataque foi realizado disfarçando projetos de código aberto legítimos, induzindo os usuários a baixar e executar código com dependências maliciosas, com o objetivo de roubar a chave privada da carteira. Os atacantes utilizaram várias contas do GitHub para operar em conjunto, ampliando o alcance da disseminação e aumentando a credibilidade, apresentando um alto grau de engano.

Recomenda-se que desenvolvedores e usuários mantenham uma alta vigilância em relação a projetos do GitHub de origem desconhecida, especialmente aqueles que envolvem operações de carteira ou Chave privada. Se precisar depurar, é melhor fazê-lo em um ambiente isolado e sem dados sensíveis.