Người dùng Solana gặp sự cố bị đánh cắp khóa riêng: Gói NPM độc hại trở thành công cụ tấn công
Vào đầu tháng 7 năm 2025, một sự cố đánh cắp khóa riêng của người dùng Solana đã thu hút sự chú ý của các chuyên gia an ninh. Một người dùng đã phát hiện ra tài sản điện tử của mình bị đánh cắp sau khi sử dụng một dự án mã nguồn mở trên GitHub. Qua cuộc điều tra sâu, đội ngũ an ninh đã tiết lộ một chuỗi tấn công được thiết kế tinh vi, trong đó có sự tham gia của các dự án mã nguồn mở giả mạo, các gói NPM độc hại và sự phối hợp của nhiều tài khoản GitHub.
Nguyên nhân của sự kiện này là một dự án GitHub có tên là solana-pumpfun-bot. Dự án này nhìn bề ngoài có vẻ khá phổ biến, với số lượng Star và Fork cao. Tuy nhiên, khi quan sát kỹ, thời gian cam kết mã của dự án tập trung trong một khoảng thời gian ngắn, thiếu tính năng cập nhật liên tục, điều này đã thu hút sự chú ý của các chuyên gia an ninh.
Phân tích sâu hơn cho thấy, dự án đã phụ thuộc vào một gói bên thứ ba đáng ngờ có tên là crypto-layout-utils. Gói này đã bị NPM chính thức gỡ bỏ, và phiên bản được chỉ định không tồn tại trong lịch sử của NPM. Kẻ tấn công đã sửa đổi tệp package-lock.json, chỉ định liên kết tải xuống của gói phụ thuộc đến một kho GitHub mà họ kiểm soát.
Gói NPM độc hại này đã được làm mờ đi rất nhiều, làm tăng độ khó trong việc phân tích. Sau khi giải mờ, đội ngũ an ninh đã xác nhận được bản chất độc hại của nó: gói này sẽ quét các tệp trên máy tính của người dùng, tìm kiếm các nội dung liên quan đến ví hoặc Khóa riêng, và sẽ tải thông tin nhạy cảm được phát hiện lên máy chủ do kẻ tấn công kiểm soát.
Thủ đoạn của kẻ tấn công khá tinh vi. Họ nghi ngờ đã kiểm soát một loạt tài khoản GitHub để Fork các dự án độc hại và phân phối, đồng thời thông qua việc tăng cao số lượng Fork và Star của dự án để thu hút thêm người dùng. Ngoài ra, đội ngũ an ninh cũng phát hiện một gói độc hại khác có tên là bs58-encrypt-utils, suy đoán rằng hoạt động tấn công có thể đã bắt đầu từ giữa tháng 6 năm 2025.
Thông qua công cụ phân tích trên chuỗi, đội ngũ an ninh đã truy tìm được một phần tiền bị đánh cắp đã chảy về một nền tảng giao dịch nào đó.
Sự kiện này làm nổi bật những thách thức về an ninh mà cộng đồng mã nguồn mở đang phải đối mặt. Kẻ tấn công đã ngụy trang thành các dự án hợp pháp, kết hợp các phương pháp kỹ thuật và kỹ thuật xã hội, thành công trong việc dụ dỗ người dùng chạy mã chứa các phụ thuộc độc hại, dẫn đến việc lộ khóa riêng và mất tài sản.
Để phòng ngừa các rủi ro tương tự, khuyến cáo các nhà phát triển và người dùng phải giữ cảnh giác cao đối với các dự án GitHub không rõ nguồn gốc, đặc biệt là những dự án liên quan đến ví hoặc khóa riêng. Nếu cần gỡ lỗi, tốt nhất là thực hiện trong môi trường độc lập và không có dữ liệu nhạy cảm. Đồng thời, cộng đồng mã nguồn mở cũng cần tăng cường kiểm tra và quản lý các dự án, nâng cao nhận thức về an toàn cho người dùng, cùng nhau duy trì một hệ sinh thái phát triển an toàn hơn.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
16 thích
Phần thưởng
16
5
Chia sẻ
Bình luận
0/400
SybilAttackVictim
· 1giờ trước
咦又有新 đồ ngốc被 chơi đùa với mọi người了
Xem bản gốcTrả lời0
rug_connoisseur
· 22giờ trước
Quá tệ rồi ha ha
Xem bản gốcTrả lời0
TokenomicsTherapist
· 07-06 13:53
thế giới tiền điện tử đồ ngốc lại bị chơi đùa với mọi người rồi
Người dùng Solana bị đánh cắp khóa riêng, gói NPM độc hại trở thành yếu tố chính trong cuộc tấn công.
Người dùng Solana gặp sự cố bị đánh cắp khóa riêng: Gói NPM độc hại trở thành công cụ tấn công
Vào đầu tháng 7 năm 2025, một sự cố đánh cắp khóa riêng của người dùng Solana đã thu hút sự chú ý của các chuyên gia an ninh. Một người dùng đã phát hiện ra tài sản điện tử của mình bị đánh cắp sau khi sử dụng một dự án mã nguồn mở trên GitHub. Qua cuộc điều tra sâu, đội ngũ an ninh đã tiết lộ một chuỗi tấn công được thiết kế tinh vi, trong đó có sự tham gia của các dự án mã nguồn mở giả mạo, các gói NPM độc hại và sự phối hợp của nhiều tài khoản GitHub.
Nguyên nhân của sự kiện này là một dự án GitHub có tên là solana-pumpfun-bot. Dự án này nhìn bề ngoài có vẻ khá phổ biến, với số lượng Star và Fork cao. Tuy nhiên, khi quan sát kỹ, thời gian cam kết mã của dự án tập trung trong một khoảng thời gian ngắn, thiếu tính năng cập nhật liên tục, điều này đã thu hút sự chú ý của các chuyên gia an ninh.
Phân tích sâu hơn cho thấy, dự án đã phụ thuộc vào một gói bên thứ ba đáng ngờ có tên là crypto-layout-utils. Gói này đã bị NPM chính thức gỡ bỏ, và phiên bản được chỉ định không tồn tại trong lịch sử của NPM. Kẻ tấn công đã sửa đổi tệp package-lock.json, chỉ định liên kết tải xuống của gói phụ thuộc đến một kho GitHub mà họ kiểm soát.
Gói NPM độc hại này đã được làm mờ đi rất nhiều, làm tăng độ khó trong việc phân tích. Sau khi giải mờ, đội ngũ an ninh đã xác nhận được bản chất độc hại của nó: gói này sẽ quét các tệp trên máy tính của người dùng, tìm kiếm các nội dung liên quan đến ví hoặc Khóa riêng, và sẽ tải thông tin nhạy cảm được phát hiện lên máy chủ do kẻ tấn công kiểm soát.
Thủ đoạn của kẻ tấn công khá tinh vi. Họ nghi ngờ đã kiểm soát một loạt tài khoản GitHub để Fork các dự án độc hại và phân phối, đồng thời thông qua việc tăng cao số lượng Fork và Star của dự án để thu hút thêm người dùng. Ngoài ra, đội ngũ an ninh cũng phát hiện một gói độc hại khác có tên là bs58-encrypt-utils, suy đoán rằng hoạt động tấn công có thể đã bắt đầu từ giữa tháng 6 năm 2025.
Thông qua công cụ phân tích trên chuỗi, đội ngũ an ninh đã truy tìm được một phần tiền bị đánh cắp đã chảy về một nền tảng giao dịch nào đó.
Sự kiện này làm nổi bật những thách thức về an ninh mà cộng đồng mã nguồn mở đang phải đối mặt. Kẻ tấn công đã ngụy trang thành các dự án hợp pháp, kết hợp các phương pháp kỹ thuật và kỹ thuật xã hội, thành công trong việc dụ dỗ người dùng chạy mã chứa các phụ thuộc độc hại, dẫn đến việc lộ khóa riêng và mất tài sản.
Để phòng ngừa các rủi ro tương tự, khuyến cáo các nhà phát triển và người dùng phải giữ cảnh giác cao đối với các dự án GitHub không rõ nguồn gốc, đặc biệt là những dự án liên quan đến ví hoặc khóa riêng. Nếu cần gỡ lỗi, tốt nhất là thực hiện trong môi trường độc lập và không có dữ liệu nhạy cảm. Đồng thời, cộng đồng mã nguồn mở cũng cần tăng cường kiểm tra và quản lý các dự án, nâng cao nhận thức về an toàn cho người dùng, cùng nhau duy trì một hệ sinh thái phát triển an toàn hơn.