Екосистема Solana зазнала атаки зловмисних NPM пакетів, активи користувачів під загрозою

На початку липня 2025 року безпекова подія, що сталася в екосистемі Solana, привернула широку увагу. Один з користувачів, використовуючи відкритий проект на GitHub, виявив, що його криптоактиви були вкрадені. Після розслідування командою безпеки була виявлена ретельно спланована атака.

Зловмисники маскуються під легітимні проекти з відкритим кодом, спокушаючи користувачів завантажити та запустити Node.js проекти з шкідливим кодом. Цей проект під назвою "solana-pumpfun-bot" здається нормальним, має велику кількість зірок і форків, але його код оновлюється аномально часто, бракує ознак постійного обслуговування.

Глибокий аналіз виявив, що проект залежить від підозрілого стороннього пакету "crypto-layout-utils". Цей пакет був знятий з обігу офіційним NPM, але зловмисники змінили файл package-lock.json, вказавши посилання на контрольований ними репозиторій GitHub. Цей шкідливий пакет сильно обфускується і має можливість сканувати файли комп'ютера користувача, завантажуючи виявлені гаманці або вміст приватних ключів на сервери зловмисників.

Зловмисники також контролювали кілька облікових записів GitHub, щоб Fork (форкнути) шкідливі проекти та підвищити їхню довіру. Окрім "crypto-layout-utils", ще один шкідливий пакет під назвою "bs58-encrypt-utils" також використовувався для подібних атак. Ці шкідливі пакети почали розповсюджуватися з середини червня 2025 року, але після дій NPM зловмисники перейшли до використання замінених посилань для завантаження, щоб продовжити розповсюдження.

Аналіз на блокчейні показує, що частина вкрадених коштів потрапила на певні торгові платформи. Цей метод атаки поєднує соціальну інженерію та технічні засоби, і навіть всередині організації його важко повністю захистити.

Щоб уникнути подібних ризиків, рекомендується розробникам і користувачам бути особливо обережними з проектами на GitHub, джерело яких невідоме, особливо коли йдеться про операції з гаманцями або приватними ключами. Якщо потрібно запустити налагодження, найкраще робити це в ізольованому середовищі без чутливих даних.

Ця подія пов'язана з кількома шкідливими репозиторіями GitHub та пакетами NPM, команда безпеки вже підготувала список відповідної інформації для довідки. Ця атака ще раз нагадує нам, що в екосистемі Web3 усвідомлення безпеки та обережність є вкрай важливими.