Экосистема Solana подверглась атаке вредоносного NPM-пакета, активы пользователей находятся под угрозой

В начале июля 2025 года инцидент безопасности, связанный с экосистемой Solana, привлек широкое внимание. Один из пользователей, воспользовавшись открытым проектом на GitHub, обнаружил, что его криптоактивы были украдены. После расследования командой безопасности был раскрыт тщательно спланированный акт атаки.

Атакующий маскируется под легитимный проект с открытым исходным кодом, побуждая пользователей загрузить и запустить проект Node.js с вредоносным кодом. Этот проект под названием "solana-pumpfun-bot" выглядит нормально, имеет высокое количество звезд и форков, но его обновления кода сосредоточены в определенные периоды и не имеют признаков постоянного обслуживания.

Глубокий анализ показал, что проект зависел от подозрительного стороннего пакета "crypto-layout-utils". Этот пакет был удален с официального сайта NPM, но злоумышленники изменили файл package-lock.json, направив ссылку на загрузку на собственный репозиторий GitHub. Этот вредоносный пакет сильно замаскирован и обладает функцией сканирования файлов компьютера пользователя; как только он находит содержимое, связанное с кошельком или приватным ключом, оно загружается на сервер злоумышленников.

Злоумышленники также контролировали несколько аккаунтов GitHub, которые использовались для форка вредоносных проектов и повышения их доверия. Кроме "crypto-layout-utils", еще один вредоносный пакет под названием "bs58-encrypt-utils" также использовался для аналогичных атак. Эти вредоносные пакеты начали распространяться с середины июня 2025 года, но после действий NPM злоумышленники перешли на использование заменяющих ссылок для продолжения распространения.

Анализ на блокчейне показывает, что часть похищенных средств была переведена на некоторые торговые платформы. Эта методика атаки сочетает в себе социальную инженерию и технические средства, и даже внутри организации трудно полностью защититься от нее.

Чтобы избежать подобных рисков, рекомендуется разработчикам и пользователям проявлять повышенную осторожность к проектам на GitHub с неопределенным источником, особенно когда это касается операций с кошельками или приватными ключами. Если необходимо выполнять отладку, лучше делать это в изолированной среде, свободной от конфиденциальных данных.

Данное событие связано с несколькими вредоносными репозиториями GitHub и пакетами NPM, команда безопасности подготовила соответствующий список информации для справки. Эта атака еще раз напоминает нам о том, что в экосистеме Web3 осведомленность о безопасности и осторожность имеют решающее значение.