Open Source projet cache du code malveillant, les Clé privée des utilisateurs de Solana ont été volées

Début juillet 2025, un incident d'attaque malveillante ciblant les utilisateurs de Solana a attiré l'attention de l'équipe de sécurité. Un utilisateur, après avoir utilisé un projet open source hébergé sur GitHub, a découvert que ses actifs cryptographiques avaient été volés. Après une enquête approfondie, les experts en sécurité ont révélé les tenants et aboutissants de cet incident.

L'événement provient d'un projet GitHub nommé "solana-pumpfun-bot". Ce projet a apparemment un nombre élevé d'étoiles et de forks, mais son historique de commits de code est anormalement concentré, manquant de caractéristiques de mise à jour continue. Une analyse plus approfondie a révélé que le projet dépendait d'un package tiers suspect "crypto-layout-utils".

Ce paquet suspect a été retiré par npm, et sa version spécifiée ne figure pas dans l'historique officiel. En vérifiant le fichier package-lock.json, les chercheurs ont découvert que l'attaquant avait habilement remplacé le lien de téléchargement de ce paquet par l'adresse d'une page de release GitHub.

Après avoir téléchargé et analysé ce paquet malveillant hautement obscurci, l'équipe de sécurité a confirmé qu'il contenait un code malveillant capable de scanner les fichiers de l'ordinateur de l'utilisateur. Une fois que des éléments liés au portefeuille ou à la Clé privée sont détectés, ils seront téléchargés sur un serveur contrôlé par l'attaquant.

L'enquête a également révélé que les attaquants pourraient contrôler plusieurs comptes GitHub pour distribuer des programmes malveillants et augmenter la crédibilité des projets. Ils attirent plus d'utilisateurs en utilisant des opérations de Fork et de Star, élargissant ainsi la portée de l'attaque.

À part "crypto-layout-utils", un autre paquet malveillant nommé "bs58-encrypt-utils" a également été utilisé pour des attaques similaires. Cela montre que les attaquants, après que le paquet a été retiré de npm, ont choisi de continuer à distribuer du code malveillant en remplaçant le lien de téléchargement.

L'analyse on-chain montre que les fonds volés ont finalement été transférés vers une plateforme d'échange de cryptomonnaies après être passés par certains portefeuilles intermédiaires.

Cet incident met en lumière les défis de sécurité auxquels la communauté Open Source est confrontée. Les attaquants ont réussi à induire les utilisateurs à exécuter du code contenant des dépendances malveillantes en se faisant passer pour des projets légitimes et en gonflant leur popularité, entraînant des fuites de clés privées et des pertes d'actifs.

Les experts en sécurité recommandent aux développeurs et aux utilisateurs de rester très vigilants face aux projets GitHub d'origine inconnue, en particulier lorsqu'il s'agit d'opérations liées aux portefeuilles ou à la clé privée. Pour le débogage, il est préférable de le faire dans un environnement isolé afin d'éviter toute fuite de données sensibles.

Cet événement implique plusieurs dépôts GitHub malveillants et des packages npm. L'équipe de sécurité a rassemblé des informations pertinentes pour référence de la communauté. Les développeurs doivent faire preuve de prudence lors de l'utilisation de dépendances tierces, examiner régulièrement la sécurité des projets et maintenir ensemble le développement sain de l'écosystème Open Source.