Відкритий вихідний код проекту приховує шкідливий код, користувачі Solana втратили закриті ключі

На початку липня 2025 року команда безпеки звернула увагу на випадок зловмисної атаки на користувачів Solana. Один з користувачів, використовуючи проєкт з відкритим вихідним кодом, розміщений на GitHub, виявив, що його криптоактиви були вкрадені. Після глибокого розслідування, експерти з безпеки розкрили обставини цього інциденту.

Подія виникла з проекту GitHub під назвою "solana-pumpfun-bot". Цей проект на поверхні має досить великий кількість зірок і форків, але його історія комітів аномально зосереджена, не має ознак постійного оновлення. Подальший аналіз виявив, що проект залежить від підозрілого стороннього пакету "crypto-layout-utils".

Цей підозрілий пакет був видалений з офіційного npm, і його вказана версія не має слідів у офіційній історії. Перевіряючи файл package-lock.json, дослідники виявили, що зловмисник хитро замінив посилання для завантаження цього пакету на адресу сторінки релізу GitHub.

Завантаживши та проаналізувавши цей сильно спотворений шкідливий пакет, команда безпеки підтвердила, що він містить шкідливий код для сканування файлів комп'ютера користувача. Як тільки виявляється вміст, пов'язаний з гаманцем або Закритим ключем, його буде завантажено на сервер, контрольований зловмисниками.

Дослідження також виявило, що зловмисники могли контролювати кілька облікових записів GitHub, щоб розповсюджувати шкідливе програмне забезпечення та підвищувати довіру до проектів. Вони використовували операції Fork і Star, щоб залучити більше користувачів, розширюючи область атаки.

Окрім "crypto-layout-utils", ще один шкідливий пакет під назвою "bs58-encrypt-utils" також використовувався для подібних атак. Це свідчить про те, що зловмисники після видалення пакета з npm перейшли до методу заміни посилань для продовження розповсюдження шкідливого коду.

Аналіз на блокчейні показує, що вкрадені кошти пройшли через певні проміжні гаманці, а потім в кінцевому підсумку потрапили на криптовалютну біржу.

Ця подія підкреслює безпекові виклики, з якими стикається відкритий вихідний код спільноти. Зловмисники, маскуючи легітимні проекти, намагаються підвищити популярність та успішно спонукають користувачів запускати код з шкідливими залежностями, що призводить до витоку закритого ключа та втрати активів.

Експерти з безпеки рекомендують розробникам і користувачам бути особливо обережними з проектами GitHub, джерело яких невідоме, особливо коли йдеться про операції з гаманцями або закритими ключами. Якщо потрібно налагоджувати, краще робити це в ізольованому середовищі, щоб уникнути витоку чутливих даних.

Ця подія стосується кількох шкідливих репозиторіїв GitHub та npm-пакетів, команда безпеки вже підготувала відповідну інформацію для громади. Розробники повинні обережно використовувати сторонні залежності, регулярно перевіряти безпеку проєкту та спільно підтримувати здоровий розвиток відкритого вихідного коду.