Usuários de Solana enfrentam novos ataques de phishing, pacotes NPM maliciosos roubam Chave privada causando perda de ativos
No início de julho de 2025, um novo tipo de ataque de phishing direcionado a usuários de Solana chamou a atenção dos especialistas em segurança. Um usuário, ao utilizar um projeto de código aberto no GitHub, descobriu que seus ativos criptográficos haviam sido roubados. Após uma investigação, a equipe de segurança revelou uma cadeia de ataque cuidadosamente elaborada, envolvendo pacotes NPM maliciosos e a operação coordenada de várias contas do GitHub.
O desenrolar dos eventos
A vítima usou um projeto do GitHub chamado "solana-pumpfun-bot" no dia 1 de julho e no dia seguinte descobriu que seus ativos foram roubados. A equipe de segurança imediatamente iniciou uma investigação e descobriu que o projeto apresentava múltiplas suspeitas:
O número de Stars e Forks do projeto é anormalmente alto, mas as atualizações de código foram concentradas há três semanas, faltando características de manutenção contínua.
O projeto depende de um pacote de terceiros suspeito chamado "crypto-layout-utils".
O pacote suspeito foi removido oficialmente pelo NPM, e a versão especificada não está nos registros oficiais.
Análise de técnicas de ataque
Uma análise aprofundada revelou que os atacantes utilizaram os seguintes métodos:
O link de download do pacote suspeito foi substituído no package-lock.json, apontando para uma versão personalizada no GitHub.
Esta versão do código foi altamente ofuscada, aumentando a dificuldade de análise.
Após a desofuscação, foi descoberto que o pacote escaneia os arquivos do computador do usuário em busca de conteúdos relacionados a carteiras ou Chave privada, e os envia para um servidor controlado pelo atacante.
O atacante pode ter controlado várias contas GitHub para fazer Fork de projetos maliciosos e aumentar a popularidade, expandindo o alcance da disseminação.
Fluxo de fundos
Através da análise em cadeia, foi descoberto que uma parte dos fundos roubados foi transferida para uma determinada plataforma de negociação.
Aumenta o alcance do ataque
A investigação também descobriu que vários projetos Fork relacionados apresentavam comportamentos maliciosos semelhantes, com algumas versões utilizando outro pacote malicioso "bs58-encrypt-utils-1.0.3". Isso indica que os atacantes começaram a distribuir pacotes NPM maliciosos e projetos Node.js já em meados de junho.
Sugestões de segurança
Mantenha uma vigilância elevada em relação a projetos do GitHub de origem desconhecida, especialmente aqueles que envolvem operações de carteira ou Chave privada.
Para depurar este tipo de projeto, recomenda-se fazê-lo em um ambiente independente e sem dados sensíveis.
Os desenvolvedores devem verificar regularmente as dependências do projeto e estar atentos a pacotes de terceiros suspeitos.
O usuário deve usar métodos de armazenamento mais seguros, como carteiras de hardware, evitando armazenar a chave privada em texto claro no computador.
Este incidente mais uma vez nos lembra que, no mundo descentralizado e de código aberto, a consciência de segurança pessoal e as medidas básicas de proteção são essenciais. Os atacantes estão constantemente inovando em suas táticas, e também precisamos acompanhar os tempos, manter-nos alertas e proteger nossos ativos digitais.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
14 Curtidas
Recompensa
14
5
Compartilhar
Comentário
0/400
BridgeJumper
· 6h atrás
Jogar sozinha é tão trágico.
Ver originalResponder0
MoonRocketman
· 08-04 22:56
Alerta RSI! Mais um idiota caiu na armadilha da pista. Ainda bem que eu calculei a probabilidade da inclinação das coordenadas.
Ver originalResponder0
ProxyCollector
· 08-04 22:55
Já tinha dito para não importares os pacotes npm à toa!
Usuários do Solana enfrentam um novo tipo de ataque de phishing, com pacotes NPM maliciosos que roubam Chave privada, levando a perdas de ativos.
Usuários de Solana enfrentam novos ataques de phishing, pacotes NPM maliciosos roubam Chave privada causando perda de ativos
No início de julho de 2025, um novo tipo de ataque de phishing direcionado a usuários de Solana chamou a atenção dos especialistas em segurança. Um usuário, ao utilizar um projeto de código aberto no GitHub, descobriu que seus ativos criptográficos haviam sido roubados. Após uma investigação, a equipe de segurança revelou uma cadeia de ataque cuidadosamente elaborada, envolvendo pacotes NPM maliciosos e a operação coordenada de várias contas do GitHub.
O desenrolar dos eventos
A vítima usou um projeto do GitHub chamado "solana-pumpfun-bot" no dia 1 de julho e no dia seguinte descobriu que seus ativos foram roubados. A equipe de segurança imediatamente iniciou uma investigação e descobriu que o projeto apresentava múltiplas suspeitas:
Análise de técnicas de ataque
Uma análise aprofundada revelou que os atacantes utilizaram os seguintes métodos:
Fluxo de fundos
Através da análise em cadeia, foi descoberto que uma parte dos fundos roubados foi transferida para uma determinada plataforma de negociação.
Aumenta o alcance do ataque
A investigação também descobriu que vários projetos Fork relacionados apresentavam comportamentos maliciosos semelhantes, com algumas versões utilizando outro pacote malicioso "bs58-encrypt-utils-1.0.3". Isso indica que os atacantes começaram a distribuir pacotes NPM maliciosos e projetos Node.js já em meados de junho.
Sugestões de segurança
Este incidente mais uma vez nos lembra que, no mundo descentralizado e de código aberto, a consciência de segurança pessoal e as medidas básicas de proteção são essenciais. Os atacantes estão constantemente inovando em suas táticas, e também precisamos acompanhar os tempos, manter-nos alertas e proteger nossos ativos digitais.