Código abierto del proyecto oculta código malicioso, la llave privada de los usuarios de Solana ha sido robada

A principios de julio de 2025, un incidente de ataque malicioso dirigido a usuarios de Solana llamó la atención del equipo de seguridad. Un usuario, tras utilizar un proyecto de código abierto alojado en GitHub, descubrió que sus activos criptográficos habían sido robados. Tras una investigación exhaustiva, los expertos en seguridad revelaron los pormenores de este incidente.

El evento se originó en un proyecto de GitHub llamado "solana-pumpfun-bot". Este proyecto tiene un número notable de estrellas y bifurcaciones, pero su historial de commits de código es anómala y carece de características de actualizaciones continuas. Un análisis más profundo revela que el proyecto depende de un paquete de terceros sospechoso llamado "crypto-layout-utils".

Este paquete sospechoso ha sido eliminado oficialmente de npm, y su versión específica no se encuentra en el historial oficial. Al revisar el archivo package-lock.json, los investigadores descubrieron que los atacantes habían reemplazado astutamente el enlace de descarga de este paquete por la dirección de una página de lanzamiento de GitHub.

Después de descargar y analizar este paquete malicioso altamente ofuscado, el equipo de seguridad confirmó que contiene código malicioso que escanea los archivos de la computadora del usuario. Una vez que se detecta contenido relacionado con la cartera o la Llave privada, se sube a un servidor controlado por el atacante.

La investigación también descubrió que los atacantes podrían haber controlado múltiples cuentas de GitHub para distribuir malware y aumentar la credibilidad del proyecto. Atraen la atención de más usuarios mediante operaciones de Fork y Star, ampliando así el alcance del ataque.

Además de "crypto-layout-utils", otro paquete malicioso llamado "bs58-encrypt-utils" también se utilizó para ataques similares. Esto indica que los atacantes, después de que el paquete fuera retirado de npm, optaron por continuar distribuyendo código malicioso mediante el reemplazo del enlace de descarga.

El análisis en la cadena muestra que los fondos robados, después de pasar por ciertas billeteras intermedias, finalmente fluyeron hacia una plataforma de intercambio de criptomonedas.

Este incidente destaca los desafíos de seguridad que enfrenta la comunidad de Código abierto. Los atacantes, al disfrazar proyectos legítimos y aumentar artificialmente la popularidad, lograron inducir a los usuarios a ejecutar código con dependencias maliciosas, lo que resultó en la filtración de llaves privadas y pérdidas de activos.

Los expertos en seguridad aconsejan a los desarrolladores y usuarios que mantengan una alta vigilancia sobre los proyectos de GitHub de origen desconocido, especialmente aquellos que implican operaciones con billeteras o Llave privada. Si es necesario depurar, es mejor hacerlo en un entorno aislado para evitar la filtración de datos sensibles.

Este evento involucra múltiples repositorios maliciosos de GitHub y paquetes de npm. El equipo de seguridad ha recopilado información relevante para que la comunidad la consulte. Los desarrolladores deben utilizar con precaución las dependencias de terceros, revisar periódicamente la seguridad del proyecto y mantener conjuntamente el desarrollo saludable del ecosistema de Código abierto.