Пользователи Solana стали жертвами кражи закрытых ключей, злонамеренный пакет NPM стал виновником

В начале июля 2025 года инцидент с кражей активов пользователей Solana привлек внимание специалистов по безопасности. Инцидент возник из-за того, что жертва использовала проект с открытым исходным кодом под названием solana-pumpfun-bot, размещенный на GitHub, после чего криптоактивы были украдены.

После расследования команды безопасности было обнаружено, что хотя проект имеет высокое количество Star и Fork, время внесения изменений в код аномально сосредоточено и отсутствуют признаки постоянного обновления. Дальнейший анализ показал, что проект зависел от подозрительного стороннего пакета crypto-layout-utils, который был удален с официального сайта NPM.

Следователи обнаружили в файле package-lock.json, что злоумышленник заменил ссылку на загрузку crypto-layout-utils на версию из репозитория GitHub. Эта версия была сильно запутана и на самом деле является вредоносным пакетом NPM, который может сканировать конфиденциальные файлы на компьютере пользователя и загружать содержимое, содержащее Закрытый ключ, на сервер, контролируемый злоумышленником.

Атакующий также мог контролировать несколько аккаунтов GitHub, чтобы форкать злонамеренные проекты и повышать их доверие. Кроме crypto-layout-utils, был обнаружен еще один злонамеренный пакет под названием bs58-encrypt-utils, участвующий в атаке.

С помощью инструментов анализа на блокчейне команда безопасности отследила, что часть украденных средств поступила на одну из торговых платформ.

Данный инцидент подчеркивает скрытые риски безопасности в открытых проектах. Злоумышленники, маскируясь под легитимные проекты, сочетая социальную инженерию и технические методы, успешно вводят пользователей в заблуждение, заставляя их запускать код с вредоносными зависимостями, что приводит к утечке закрытого ключа и потере активов.

Эксперты по безопасности рекомендуют разработчикам и пользователям проявлять повышенную бдительность по отношению к проектам на GitHub с неопределенным источником, особенно когда дело касается операций с кошельками или закрытыми ключами. Если требуется отладка, лучше всего проводить её в изолированной среде без конфиденциальных данных.

Данное событие связано с несколькими вредоносными репозиториями GitHub и пакетами NPM, команда безопасности собрала соответствующую информацию для справки. С учетом того, что методы атак постоянно эволюционируют, пользователи должны быть особенно осторожны при использовании открытых проектов, чтобы предотвратить потенциальные угрозы безопасности.