Открытый исходный код проекта скрывает вредоносный код, пользователи Solana лишились Закрытого ключа

В начале июля 2025 года инцидент с вредоносной атакой на пользователей Solana привлек внимание команды безопасности. Один из пользователей, воспользовавшись открытым исходным кодом, размещенным на GitHub, обнаружил, что его криптоактивы были украдены. В ходе глубокого расследования эксперты по безопасности раскрыли подробности этого инцидента.

Событие произошло из-за проекта на GitHub под названием "solana-pumpfun-bot". Этот проект, на первый взгляд, имеет довольно высокое количество звезд и форков, но его история коммитов аномально централизована и не имеет признаков постоянного обновления. Дальнейший анализ показал, что проект зависит от подозрительной сторонней библиотеки "crypto-layout-utils".

Этот подозрительный пакет был удален из официального npm, и его указанная версия не имеет следов в официальной истории. Проверив файл package-lock.json, исследователи обнаружили, что злоумышленники хитро заменили ссылку на загрузку этого пакета на адрес страницы релиза GitHub.

Скачав и проанализировав этот сильно запутанный вредоносный пакет, команда безопасности подтвердила, что он содержит вредоносный код для сканирования файлов компьютера пользователя. Как только будет обнаружено что-либо, связанное с кошельком или Закрытым ключом, это будет загружено на сервер, контролируемый злоумышленниками.

Расследование также обнаружило, что злоумышленники могли контролировать несколько аккаунтов GitHub для распространения вредоносных программ и повышения доверия к проектам. Они использовали операции Fork и Star, чтобы привлечь больше пользователей, расширяя диапазон атак.

Кроме "crypto-layout-utils", еще один вредоносный пакет под названием "bs58-encrypt-utils" также использовался для аналогичных атак. Это указывает на то, что злоумышленники, после удаления пакета из npm, начали использовать способ замены ссылок для продолжения распространения вредоносного кода.

Анализ на блокчейне показывает, что украденные средства в конечном итоге были перенаправлены на криптовалютную торговую платформу через некоторые промежуточные кошельки.

Этот инцидент подчеркивает проблемы безопасности, с которыми сталкивается открытое сообщество. Злоумышленники, маскируя легитимные проекты и накручивая популярность, успешно вводят пользователей в заблуждение, заставляя их запускать код с вредоносными зависимостями, что приводит к утечке закрытого ключа и потере активов.

Эксперты по безопасности советуют разработчикам и пользователям проявлять повышенную осторожность к проектам на GitHub с неизвестным источником, особенно когда речь идет о работе с кошельками или закрытыми ключами. Если необходимо отладить, лучше делать это в изолированной среде, чтобы избежать утечки конфиденциальных данных.

Данное событие связано с несколькими вредоносными репозиториями GitHub и пакетами npm. Команда безопасности собрала соответствующую информацию для ознакомления сообщества. Разработчики должны осторожно использовать сторонние зависимости, регулярно проверять безопасность проектов и совместно поддерживать здоровое развитие открытого исходного кода.