Викрадення активів користувачів Solana: аналіз інциденту з крадіжкою закритих ключів через зловмисний пакет NPM

2 липня 2025 року користувач звернувся до команди безпеки з проханням проаналізувати причину викрадення його криптоактивів. Під час розслідування з'ясувалося, що інцидент стався через використання користувачем відкритого проєкту solana-pumpfun-bot, який розміщено на GitHub.

Команда безпеки негайно розпочала розслідування. Відвідавши репозиторій проекту на GitHub, було виявлено, що проект, хоча і має високі показники Star та Fork, проте часи комітів аномально сконцентровані, що свідчить про відсутність постійних оновлень.

Додатковий аналіз показав, що цей проект Node.js використовує підозрілий сторонній пакет під назвою crypto-layout-utils. Цей пакет був видалений з офіційних джерел, і версія, вказана в package.json, не з'являється в офіційній історії NPM.

У файлі package-lock.json дослідники виявили, що зловмисники замінили посилання на завантаження crypto-layout-utils на адреси завантаження релізу з GitHub. Завантаживши та проаналізувавши цей сильно заплутаний пакет залежностей, підтверджено, що це зловмисний NPM пакет.

Цей шкідливий пакет буде сканувати файли комп'ютера користувача, і якщо знайде вміст, пов'язаний з гаманцем або Закритим ключем, він завантажить його на сервер, контрольований зловмисником. Зловмисник також міг контролювати кілька облікових записів GitHub для розповсюдження шкідливих програм та підвищення довіри до проєкту.

Окрім crypto-layout-utils, було виявлено ще один шкідливий пакет під назвою bs58-encrypt-utils. Ці шкідливі пакети почали поширюватися з середини червня 2025 року, після чого продовжили розповсюдження, змінивши посилання для завантаження NPM пакетів.

Завдяки інструментам аналізу на базі блокчейн виявлено, що частина вкрадених коштів була переведена на певну торгову платформу.

Ця атака здійснюється шляхом маскування під легітимні проєкти з відкритим вихідним кодом, спокушаючи користувачів завантажити та запустити код з шкідливими залежностями, з метою викрадення закритих ключів гаманців. Зловмисники використовують кілька облікових записів GitHub для спільних дій, розширюючи область розповсюдження та підвищуючи довіру, що надає їй велику обманність.

Рекомендується, щоб розробники та користувачі були дуже обережні з проектами GitHub, джерело яких невідоме, особливо коли йдеться про операції з гаманцями або Закритий ключ. Якщо потрібно провести налагодження, краще робити це в ізольованому середовищі без чутливих даних.