Користувачі Solana стали жертвами крадіжки закритих ключів: зловмисний пакет NPM став знаряддям атаки

На початку липня 2025 року інцидент із крадіжкою закритих ключів користувачів Solana привернув увагу експертів з безпеки. Один з користувачів, скориставшись відкритим проєктом на GitHub, виявив, що його криптоактиви були вкрадені. Після детального розслідування команда безпеки виявила ретельно спланований ланцюг атак, який включав маскувальні відкриті проєкти, шкідливі пакунки NPM та спільні дії кількох акаунтів GitHub.

Причиною події став проект GitHub під назвою solana-pumpfun-bot. Цей проект на перший погляд виглядає досить популярним, має велику кількість зірок і форків. Однак ретельний аналіз показує, що часи коміту коду проекту зосереджені в короткий термін і відсутні ознаки постійного оновлення, що викликало занепокоєння у фахівців з безпеки.

Подальший аналіз показав, що проєкт залежить від підозрілого стороннього пакету під назвою crypto-layout-utils. Цей пакет вже був вилучений з офіційного NPM, а зазначений номер версії не існує в історії NPM. Зловмисники, змінивши файл package-lock.json, перенаправили посилання для завантаження залежного пакету на репозиторій GitHub, контрольований ними.

Цей шкідливий пакет NPM був сильно обфускований, що ускладнює аналіз. Після декомпіляції команда безпеки підтвердила його шкідливий характер: пакет сканує файли комп'ютера користувача в пошуках вмісту, пов'язаного з гаманцями або Закритими ключами, і завантажує виявлену чутливу інформацію на сервер, контрольований зловмисником.

Методи атаки досить підступні. Вони, ймовірно, контролюють групу акаунтів GitHub, які використовуються для Fork злочинних проектів та їх розповсюдження, одночасно підвищуючи кількість Fork та Star проектів, щоб залучити більше користувачів. Крім того, команда безпеки виявила ще один зловмисний пакет під назвою bs58-encrypt-utils, що свідчить про те, що атакуюча діяльність могла розпочатися ще в середині червня 2025 року.

За допомогою інструментів аналізу на блокчейні команда безпеки відстежила, що частина вкрадених коштів потрапила на певну торгову платформу.

Ця подія підкреслює безпекові виклики, з якими стикається відкритий комунітет. Зловмисники, маскуючи легітимні проєкти, поєднуючи соціальну інженерію та технічні засоби, успішно спонукали користувачів виконувати код з шкідливими залежностями, що призвело до витоку Закритий ключ та втрати активів.

Щоб запобігти подібним ризикам, рекомендується розробникам і користувачам проявляти високу обережність щодо проектів GitHub з невідомим джерелом, особливо тих, що стосуються гаманців або Закритий ключ. Якщо потрібно налагоджувати, найкраще робити це в незалежному середовищі без чутливих даних. Одночасно, відкритій спільноті також потрібно посилити перевірку та контроль проектів, підвищити обізнаність користувачів про безпеку та спільно підтримувати більш безпечну екосистему розробки.