L'écosystème Solana fait face à une attaque malveillante de paquets NPM, les actifs des utilisateurs sont en danger

Début juillet 2025, un incident de sécurité visant l'écosystème Solana a suscité une large attention. Un utilisateur, après avoir utilisé un projet open source sur GitHub, a découvert que ses actifs cryptographiques avaient été volés. Après enquête de l'équipe de sécurité, une attaque soigneusement planifiée a été révélée.

Un attaquant se fait passer pour un projet open source légitime, incitant les utilisateurs à télécharger et à exécuter un projet Node.js contenant du code malveillant. Ce projet nommé "solana-pumpfun-bot" semble normal, avec un nombre élevé d'étoiles et de forks, mais ses mises à jour de code sont anormalement concentrées et manquent de caractéristiques de maintenance continue.

Une analyse approfondie révèle que le projet dépend d'un paquet tiers suspect "crypto-layout-utils". Ce paquet a été retiré par les autorités de NPM, mais les attaquants ont modifié le fichier package-lock.json pour rediriger le lien de téléchargement vers un dépôt GitHub contrôlé par eux. Ce paquet malveillant est fortement obfusqué et possède la capacité de scanner les fichiers de l'ordinateur de l'utilisateur. Dès qu'il détecte des informations liées à un portefeuille ou à une clé privée, celles-ci sont téléchargées sur le serveur des attaquants.

Les attaquants ont également contrôlé plusieurs comptes GitHub pour forker des projets malveillants et en augmenter la crédibilité. En plus de "crypto-layout-utils", un autre paquet malveillant nommé "bs58-encrypt-utils" a également été utilisé pour des attaques similaires. Ces paquets malveillants ont commencé à être distribués à partir de la mi-juin 2025, mais après que NPM a agi, les attaquants ont utilisé une méthode de remplacement des liens de téléchargement pour continuer à propager.

L'analyse on-chain montre qu'une partie des fonds volés a été dirigée vers certaines plateformes d'échange. Cette méthode d'attaque combine l'ingénierie sociale et des techniques, rendant difficile une défense complète même au sein de l'organisation.

Pour prévenir des risques similaires, il est conseillé aux développeurs et aux utilisateurs de rester très vigilants face aux projets GitHub d'origine inconnue, en particulier lorsqu'il s'agit d'opérations sur des portefeuilles ou des clés privées. Si vous devez exécuter un débogage, il est préférable de le faire dans un environnement isolé et sans données sensibles.

Cet incident implique plusieurs dépôts GitHub malveillants et des paquets NPM. L'équipe de sécurité a dressé une liste d'informations pertinentes à titre de référence. Cette attaque nous rappelle une fois de plus l'importance de la sensibilisation à la sécurité et d'une attitude prudente dans l'écosystème Web3.