Les utilisateurs de Solana confrontés à des vols de clés privées : un paquet NPM malveillant devient un outil d'attaque

Début juillet 2025, un incident de vol de clé privée ciblant les utilisateurs de Solana a attiré l'attention des experts en sécurité. Un utilisateur, après avoir utilisé un projet open source sur GitHub, a découvert que ses actifs cryptographiques avaient été volés. Après une enquête approfondie, l'équipe de sécurité a révélé une chaîne d'attaques soigneusement conçue, impliquant des projets open source déguisés, des paquets NPM malveillants et la collaboration de plusieurs comptes GitHub.

L'événement a été déclenché par un projet GitHub nommé solana-pumpfun-bot. Ce projet semble à première vue très populaire, avec un nombre élevé d'étoiles et de forks. Cependant, en y regardant de plus près, on constate que les soumissions de code du projet sont concentrées sur une courte période et manquent de caractéristiques de mises à jour continues, ce qui a attiré l'attention des experts en sécurité.

Une analyse plus approfondie a révélé que le projet dépendait d'un package tiers suspect appelé crypto-layout-utils. Ce package a été retiré par l'équipe de NPM, et la version spécifiée n'existe pas dans l'historique de NPM. Les attaquants ont modifié le fichier package-lock.json pour rediriger le lien de téléchargement du package vers un dépôt GitHub qu'ils contrôlent.

Ce package NPM malveillant est hautement obfusqué, ce qui rend l'analyse plus difficile. Après déobfuscation, l'équipe de sécurité a confirmé sa nature malveillante : ce package scanne les fichiers de l'ordinateur de l'utilisateur à la recherche de contenu lié aux portefeuilles ou aux clés privées, et télécharge les informations sensibles découvertes sur un serveur contrôlé par l'attaquant.

Les méthodes des attaquants sont plutôt astucieuses. Ils seraient suspectés de contrôler un certain nombre de comptes GitHub pour forker des projets malveillants et les distribuer, tout en augmentant artificiellement le nombre de forks et d'étoiles du projet afin d'attirer plus d'utilisateurs. De plus, l'équipe de sécurité a également découvert un autre paquet malveillant nommé bs58-encrypt-utils, et il est supposé que les activités d'attaque ont pu commencer dès la mi-juin 2025.

Grâce aux outils d'analyse on-chain, l'équipe de sécurité a tracé une partie des fonds volés vers une certaine plateforme d'échange.

Cet incident met en évidence les défis de sécurité auxquels la communauté open source est confrontée. Les attaquants, en se faisant passer pour des projets légitimes et en combinant ingénierie sociale et techniques, ont réussi à inciter les utilisateurs à exécuter du code contenant des dépendances malveillantes, entraînant une fuite de clés privées et des pertes d'actifs.

Pour prévenir des risques similaires, il est recommandé aux développeurs et aux utilisateurs de rester vigilants face aux projets GitHub dont la provenance est incertaine, en particulier ceux impliquant des opérations de portefeuille ou de clé privée. En cas de besoin de débogage, il est préférable de le faire dans un environnement isolé et sans données sensibles. De plus, la communauté open source doit renforcer l'audit et la régulation des projets, améliorer la sensibilisation des utilisateurs à la sécurité, et ainsi maintenir un écosystème de développement plus sûr.