Usuários de Solana enfrentam roubo de chave privada: pacotes NPM maliciosos tornam-se ferramentas de ataque

No início de julho de 2025, um incidente de roubo de chave privada direcionado a usuários de Solana chamou a atenção dos especialistas em segurança. Um usuário, após utilizar um projeto de código aberto no GitHub, descobriu que seus ativos criptográficos haviam sido roubados. Após uma investigação aprofundada, a equipe de segurança revelou uma cadeia de ataques cuidadosamente elaborada, que envolvia projetos de código aberto disfarçados, pacotes maliciosos do NPM e a colaboração de várias contas do GitHub.

A causa do evento foi um projeto no GitHub chamado solana-pumpfun-bot. O projeto, à primeira vista, parecia bastante popular, com um número elevado de Stars e Forks. No entanto, ao observar mais de perto, percebe-se que os momentos de submissão de código do projeto estão concentrados em um curto período, carecendo das características de atualização contínua, o que despertou a atenção dos especialistas em segurança.

Uma análise adicional revelou que o projeto depende de um pacote de terceiros suspeito chamado crypto-layout-utils. Este pacote foi removido oficialmente do NPM, e a versão especificada não existe no histórico do NPM. Os atacantes modificaram o arquivo package-lock.json para direcionar o link de download do pacote de dependência para um repositório do GitHub controlado por eles.

Este pacote NPM malicioso foi altamente ofuscado, aumentando a dificuldade de análise. Após a desofuscação, a equipe de segurança confirmou sua natureza maliciosa: o pacote escaneia arquivos do computador do usuário em busca de conteúdos relacionados a carteiras ou Chave privada, e envia as informações sensíveis descobertas para um servidor controlado pelo atacante.

A abordagem dos atacantes é bastante astuta. Suspeita-se que eles tenham controlado um conjunto de contas do GitHub, usadas para fazer Fork de projetos maliciosos e distribuí-los, enquanto aumentam artificialmente o número de Forks e Stars dos projetos para atrair mais usuários. Além disso, a equipe de segurança também descobriu um outro pacote malicioso chamado bs58-encrypt-utils, suspeitando que a atividade de ataque possa ter começado já em meados de junho de 2025.

Através de ferramentas de análise on-chain, a equipe de segurança rastreou que parte dos fundos roubados fluiu para uma determinada plataforma de negociação.

Este incidente destaca os desafios de segurança enfrentados pela comunidade de código aberto. Os atacantes disfarçaram projetos legítimos, combinando engenharia social e técnicas técnicas, para induzir com sucesso os usuários a executarem código com dependências maliciosas, resultando em vazamentos de Chave privada e perda de ativos.

Para prevenir riscos semelhantes, recomenda-se que os desenvolvedores e usuários mantenham uma vigilância elevada sobre projetos do GitHub de origem desconhecida, especialmente aqueles que envolvem operações com carteiras ou Chave privada. Se for necessário depurar, é melhor fazê-lo em um ambiente isolado e sem dados sensíveis. Ao mesmo tempo, a comunidade de código aberto também precisa reforçar a auditoria e a supervisão dos projetos, aumentando a consciência de segurança dos usuários e mantendo juntos um ecossistema de desenvolvimento mais seguro.