- Chủ đề
758 Phổ biến
85k Phổ biến
12k Phổ biến
5k Phổ biến
30k Phổ biến
16k Phổ biến
23k Phổ biến
13k Phổ biến
3k Phổ biến
13k Phổ biến
- Ghim
758 Phổ biến
85k Phổ biến
12k Phổ biến
5k Phổ biến
30k Phổ biến
16k Phổ biến
23k Phổ biến
13k Phổ biến
3k Phổ biến
13k Phổ biến
Phân tích sự kiện người dùng Solana bị tấn công bởi gói NPM độc hại và khóa riêng bị đánh cắp
Phân tích sự kiện trộm cắp tài sản của người dùng Solana: Gói NPM độc hại đánh cắp Khóa riêng
Vào ngày 2 tháng 7 năm 2025, một người dùng đã yêu cầu sự trợ giúp từ đội ngũ an ninh, mong muốn phân tích nguyên nhân tài sản tiền điện tử của mình bị đánh cắp. Qua điều tra, sự kiện bắt nguồn từ việc người dùng này đã sử dụng một dự án mã nguồn mở được lưu trữ trên GitHub có tên solana-pumpfun-bot.
Đội ngũ an ninh ngay lập tức tiến hành điều tra. Sau khi truy cập kho GitHub của dự án, phát hiện rằng dự án này mặc dù có số lượng Star và Fork cao, nhưng thời gian cam kết mã lại tập trung bất thường, thiếu đặc điểm cập nhật liên tục.
Phân tích thêm cho thấy, dự án Node.js này đã tham chiếu đến một gói bên thứ ba nghi ngờ có tên là crypto-layout-utils. Gói phụ thuộc này đã bị chính thức gỡ bỏ, và phiên bản được chỉ định trong package.json không xuất hiện trong lịch sử chính thức của NPM.
Trong tệp package-lock.json, các nhà nghiên cứu phát hiện ra rằng kẻ tấn công đã thay thế liên kết tải xuống của crypto-layout-utils bằng địa chỉ tải xuống release của một kho GitHub. Sau khi tải xuống và phân tích gói phụ thuộc bị làm nhiễu này, xác nhận đây là một gói NPM độc hại.
Gói độc hại này sẽ quét các tệp trên máy tính của người dùng, nếu phát hiện nội dung liên quan đến ví hoặc Khóa riêng thì sẽ tải lên máy chủ do kẻ tấn công kiểm soát. Kẻ tấn công cũng có thể đã kiểm soát nhiều tài khoản GitHub để phân phối phần mềm độc hại và tăng cường độ tin cậy của dự án.
Ngoài crypto-layout-utils, còn phát hiện một gói độc hại khác có tên là bs58-encrypt-utils. Những gói độc hại này bắt đầu được phân phối từ giữa tháng 6 năm 2025, và sau đó tiếp tục lây lan bằng cách thay thế liên kết tải xuống gói NPM.
Thông qua công cụ phân tích trên chuỗi, phát hiện một phần tài sản bị đánh cắp đã được chuyển đến một sàn giao dịch.
Cuộc tấn công này đã giả mạo các dự án mã nguồn mở hợp pháp, lừa người dùng tải xuống và chạy mã có chứa phụ thuộc độc hại, từ đó đánh cắp khóa riêng của ví. Kẻ tấn công đã sử dụng nhiều tài khoản GitHub để phối hợp hoạt động, mở rộng phạm vi phát tán và nâng cao độ tin cậy, có tính chất lừa đảo rất cao.
Đề nghị các nhà phát triển và người dùng giữ cảnh giác cao đối với các dự án GitHub có nguồn gốc không rõ ràng, đặc biệt là khi liên quan đến ví hoặc Khóa riêng. Nếu cần gỡ lỗi, tốt nhất nên thực hiện trong một môi trường độc lập và không có dữ liệu nhạy cảm.