Пользователи Solana стали жертвами кражи закрытого ключа: вредоносный пакет NPM стал оружием атаки

В начале июля 2025 года инцидент кражи закрытого ключа пользователей Solana привлек внимание экспертов по безопасности. Один из пользователей, использовавший один из открытых проектов на GitHub, обнаружил, что его криптоактивы были украдены. После глубокого расследования команда безопасности раскрыла тщательно спланированную цепочку атак, в которой задействованы замаскированные открытые проекты, вредоносные пакеты NPM и координированные действия нескольких аккаунтов GitHub.

Причиной события стал проект на GitHub под названием solana-pumpfun-bot. На первый взгляд, проект выглядит довольно популярным, с большим количеством звезд и форков. Однако при более тщательном рассмотрении выясняется, что время коммитов кода сосредоточено на коротком периоде, что указывает на отсутствие постоянных обновлений, что вызвало тревогу у специалистов по безопасности.

Дальнейший анализ показал, что проект зависел от подозрительного стороннего пакета под названием crypto-layout-utils. Этот пакет был удален с официального сайта NPM, и указанная версия отсутствует в истории NPM. Злоумышленники изменили файл package-lock.json, указав ссылку на загрузку зависимого пакета на репозиторий GitHub, контролируемый ими.

Этот вредоносный пакет NPM подвергся высокой степени обфускации, что усложняет анализ. После декомпиляции команда безопасности подтвердила его вредоносный характер: пакет сканирует файлы компьютера пользователя в поисках информации о кошельках или закрытых ключах и загружает найденную конфиденциальную информацию на сервер, контролируемый злоумышленником.

Методы атаки достаточно хитры. Подозревается, что они контролируют группу аккаунтов GitHub, используемых для Fork вредоносных проектов и их распространения, одновременно увеличивая количество Fork и Star проектов для привлечения большего числа пользователей. Кроме того, команда безопасности обнаружила еще один вредоносный пакет под названием bs58-encrypt-utils, и предполагается, что атаки могли начаться еще в середине июня 2025 года.

С помощью инструментов анализа на блокчейне команда безопасности отслеживала, что часть похищенных средств была направлена на одну из торговых платформ.

Этот инцидент подчеркивает безопасность, с которой сталкивается сообщество с открытым исходным кодом. Злоумышленники, маскируясь под легитимные проекты, с помощью социальной инженерии и технических средств успешно вводят пользователей в заблуждение, заставляя их запускать код с вредоносными зависимостями, что приводит к утечке Закрытый ключ и потерям активов.

Чтобы избежать подобных рисков, рекомендуется разработчикам и пользователям проявлять повышенную бдительность к проектам на GitHub с неизвестным источником, особенно к проектам, связанным с операциями с кошельками или Закрытым ключом. Если необходимо отладить, лучше всего делать это в изолированной среде без конфиденциальных данных. В то же время, сообщество с открытым исходным кодом также должно усилить аудит и регулирование проектов, повысить безопасность пользователей и совместно поддерживать более безопасную экосистему разработки.