Código aberto do projeto esconde código malicioso, Chave privada dos usuários de Solana é roubada

No início de julho de 2025, um incidente de ataque malicioso direcionado a usuários da Solana chamou a atenção da equipe de segurança. Um usuário, após usar um projeto de código aberto hospedado no GitHub, descobriu que seus ativos criptográficos haviam sido roubados. Após uma investigação aprofundada, especialistas em segurança revelaram os detalhes do ocorrido.

O evento originou-se de um projeto do GitHub chamado "solana-pumpfun-bot". Este projeto tem um número elevado de estrelas e forks, mas o histórico de commits do código é anormalmente concentrado, faltando características de atualizações contínuas. Uma análise mais aprofundada revelou que o projeto depende de um pacote de terceiros suspeito chamado "crypto-layout-utils".

Este pacote suspeito foi removido oficialmente pelo npm e a versão especificada não pode ser encontrada nos registros históricos oficiais. Ao verificar o arquivo package-lock.json, os pesquisadores descobriram que o atacante habilidosamente substituiu o link de download do pacote por um endereço de página de release do GitHub.

Após baixar e analisar este pacote malicioso altamente ofuscado, a equipe de segurança confirmou que ele contém código malicioso que escaneia os arquivos do computador do usuário. Assim que encontrar conteúdo relacionado a carteiras ou Chave privada, ele será enviado para um servidor controlado pelo atacante.

A investigação também revelou que os atacantes podem ter controlado várias contas do GitHub, usadas para distribuir programas maliciosos e aumentar a credibilidade dos projetos. Eles atraíram mais usuários para se interessarem, ampliando o alcance do ataque, através de operações de Fork e Star.

Além de "crypto-layout-utils", outro pacote malicioso chamado "bs58-encrypt-utils" também foi usado para ataques semelhantes. Isso indica que os atacantes, após a remoção do pacote do npm, passaram a adotar a estratégia de substituir o link de download para continuar a distribuir códigos maliciosos.

A análise on-chain mostra que os fundos roubados foram finalmente direcionados para uma plataforma de troca de criptomoedas após passarem por algumas carteiras intermediárias.

Este incidente destaca os desafios de segurança enfrentados pela comunidade de código aberto. Os atacantes, disfarçando projetos legítimos e aumentando a popularidade, conseguiram induzir os usuários a executar código com dependências maliciosas, resultando em vazamento de chaves privadas e perda de ativos.

Especialistas em segurança aconselham desenvolvedores e usuários a manterem alta vigilância sobre projetos do GitHub de origem desconhecida, especialmente aqueles que envolvem operações com carteiras ou Chave privada. Se precisar depurar, é melhor fazê-lo em um ambiente isolado para evitar a divulgação de dados sensíveis.

Este incidente envolve múltiplos repositórios maliciosos do GitHub e pacotes npm, a equipe de segurança organizou informações relevantes para referência da comunidade. Os desenvolvedores devem ter cautela ao usar dependências de terceiros, revisar regularmente a segurança dos projetos e manter em conjunto o desenvolvimento saudável do ecossistema de código aberto.