Usuarios de Solana sufren robo de llave privada: paquetes NPM maliciosos se convierten en herramientas de ataque

A principios de julio de 2025, un incidente de robo de llaves privadas dirigido a usuarios de Solana llamó la atención de los expertos en seguridad. Un usuario, tras utilizar un proyecto de código abierto en GitHub, descubrió que sus activos criptográficos habían sido robados. Después de una investigación exhaustiva, el equipo de seguridad reveló una cadena de ataques meticulosamente diseñada, que involucraba proyectos de código abierto disfrazados, paquetes maliciosos de NPM y la colaboración de múltiples cuentas de GitHub.

El origen del evento es un proyecto de GitHub llamado solana-pumpfun-bot. A primera vista, el proyecto parece ser bastante popular, con un alto número de estrellas y bifurcaciones. Sin embargo, al observar detenidamente, se descubre que el tiempo de las contribuciones al código del proyecto está concentrado en un corto período, careciendo de la característica de actualizaciones continuas, lo que ha despertado la alerta de los expertos en seguridad.

Un análisis más detallado revela que el proyecto depende de un paquete de terceros sospechoso llamado crypto-layout-utils. Este paquete ha sido eliminado por NPM y la versión especificada no existe en el historial de NPM. Los atacantes modificaron el archivo package-lock.json para redirigir el enlace de descarga del paquete dependiente a un repositorio de GitHub que controlan.

Este paquete malicioso de NPM está altamente ofuscado, lo que aumenta la dificultad de análisis. Tras la desofuscación, el equipo de seguridad confirmó su naturaleza maliciosa: este paquete escanea los archivos de la computadora del usuario en busca de contenido relacionado con billeteras o Llave privada, y sube la información sensible encontrada a un servidor controlado por el atacante.

Los métodos del atacante son bastante astutos. Se sospecha que han controlado un grupo de cuentas de GitHub para bifurcar proyectos maliciosos y distribuirlos, al mismo tiempo que aumentan artificialmente el número de bifurcaciones y estrellas del proyecto para atraer a más usuarios. Además, el equipo de seguridad también ha descubierto otro paquete malicioso llamado bs58-encrypt-utils, y se sospecha que las actividades de ataque podrían haber comenzado a mediados de junio de 2025.

A través de herramientas de análisis en la cadena, el equipo de seguridad rastreó que parte de los fondos robados se dirigieron a una plataforma de intercambio.

Este incidente destaca los desafíos de seguridad que enfrenta la comunidad de código abierto. Los atacantes disfrazaron proyectos legítimos y, combinando ingeniería social y técnicas, lograron inducir a los usuarios a ejecutar código con dependencias maliciosas, lo que llevó a la filtración de Llave privada y pérdidas de activos.

Para prevenir riesgos similares, se recomienda a los desarrolladores y usuarios que mantengan una alta vigilancia sobre los proyectos de GitHub de origen desconocido, especialmente aquellos que involucren operaciones con billeteras o llaves privadas. Si es necesario depurar, es mejor hacerlo en un entorno independiente y sin datos sensibles. Al mismo tiempo, la comunidad de código abierto también necesita fortalecer la revisión y supervisión de los proyectos, aumentar la conciencia de seguridad de los usuarios y mantener juntos un ecosistema de desarrollo más seguro.