O ecossistema Solana enfrenta um ataque de pacotes NPM maliciosos, os ativos dos usuários estão em risco

No início de julho de 2025, um incidente de segurança relacionado ao ecossistema Solana atraiu ampla atenção. Um usuário, após utilizar um projeto de código aberto no GitHub, descobriu que seus ativos criptográficos haviam sido roubados. Após a investigação da equipe de segurança, foi revelado um ataque cuidadosamente planejado.

Os atacantes disfarçam-se como projetos de código aberto legítimos, induzindo os usuários a baixar e executar projetos Node.js que contêm código malicioso. Este projeto chamado "solana-pumpfun-bot" parece normal, com um número elevado de Stars e Forks, mas suas atualizações de código são anormalmente concentradas, carecendo das características de manutenção contínua.

Uma análise aprofundada revelou que o projeto dependia de um pacote de terceiros suspeito "crypto-layout-utils". Este pacote foi removido oficialmente do NPM, mas os atacantes modificaram o arquivo package-lock.json para apontar o link de download para um repositório GitHub controlado por eles. Este pacote malicioso passou por uma forte ofuscação, possuindo a capacidade de escanear os arquivos do computador do usuário e, ao encontrar conteúdo relacionado a carteiras ou chaves privadas, fará o upload para os servidores dos atacantes.

Os atacantes também controlavam várias contas do GitHub para fazer Fork de projetos maliciosos e aumentar sua credibilidade. Além de "crypto-layout-utils", outro pacote malicioso chamado "bs58-encrypt-utils" também foi utilizado em ataques semelhantes. Esses pacotes maliciosos começaram a ser distribuídos em meados de junho de 2025, mas após a ação da NPM, os atacantes passaram a usar links de download substituídos para continuar a disseminação.

A análise on-chain mostra que parte dos fundos roubados foi direcionada para algumas plataformas de negociação. Este tipo de ataque combina engenharia social e técnicas tecnológicas, tornando difícil a defesa completa, mesmo dentro da organização.

Para prevenir riscos semelhantes, recomenda-se que desenvolvedores e usuários mantenham uma alta vigilância sobre projetos do GitHub de origem desconhecida, especialmente quando se trata de operações com carteiras ou chaves privadas. Se precisar executar depuração, é melhor fazê-lo em um ambiente isolado e sem dados sensíveis.

Este incidente envolve vários repositórios maliciosos do GitHub e pacotes NPM, e a equipe de segurança compilou uma lista de informações relevantes para referência. Este ataque nos lembra mais uma vez que, no ecossistema Web3, a consciência de segurança e uma atitude cautelosa são cruciais.