Анализ инцидента кражи закрытого ключа из-за вредоносного NPM пакета у пользователей Solana

2 июля 2025 года пользователь обратился к команде безопасности с просьбой проанализировать причины кражи его криптоактивов. В ходе расследования было установлено, что инцидент произошел из-за того, что пользователь использовал проект с открытым исходным кодом solana-pumpfun-bot, размещенный на GitHub.

Команда безопасности немедленно начала расследование. После доступа к репозиторию проекта на GitHub было обнаружено, что, хотя у проекта было много звезд и форков, время коммитов было аномально сосредоточено, и не хватало признаков постоянного обновления.

Дальнейший анализ показал, что этот проект Node.js ссылается на подозрительный сторонний пакет под названием crypto-layout-utils. Этот пакет был снят с официальной платформы, и версия, указанная в package.json, не встречается в официальной истории NPM.

В файле package-lock.json исследователи обнаружили, что злоумышленник заменил ссылку на скачивание crypto-layout-utils на адрес загрузки релиза GitHub. После загрузки и анализа этого сильно запутанного пакета зависимостей было подтверждено, что это вредоносный NPM пакет.

Этот вредоносный пакет будет сканировать файлы на компьютере пользователя, и если обнаружит содержимое, связанное с кошельком или Закрытым ключом, то загрузит его на сервер, контролируемый злоумышленником. Злоумышленник также может контролировать несколько аккаунтов GitHub, чтобы распространять вредоносные программы и повышать доверие к проекту.

Помимо crypto-layout-utils, был обнаружен еще один вредоносный пакет под названием bs58-encrypt-utils. Эти вредоносные пакеты начали распространяться с середины июня 2025 года, а затем продолжили распространяться, изменив ссылки для загрузки NPM пакетов.

С помощью инструментов анализа блокчейна было обнаружено, что часть украденных средств была переведена на одну из торговых платформ.

Атака осуществлялась путем маскировки под законные проекты с открытым исходным кодом, что побуждало пользователей загружать и запускать код с вредоносными зависимостями, тем самым крадя закрытые ключи кошельков. Нападающие использовали несколько аккаунтов GitHub для совместных действий, чтобы расширить охват и повысить доверие, что делает их действия весьма обманчивыми.

Рекомендуется разработчикам и пользователям проявлять повышенную бдительность по отношению к проектам на GitHub с неизвестным источником, особенно если они связаны с операциями с кошельками или Закрытым ключом. Если необходимо отладить, лучше всего делать это в изолированной среде без конфиденциальных данных.