Mã nguồn mở dự án ẩn chứa mã độc, khóa riêng của người dùng Solana bị đánh cắp

Vào đầu tháng 7 năm 2025, một sự kiện tấn công ác ý nhắm vào người dùng Solana đã thu hút sự chú ý của đội ngũ an ninh. Một người dùng sau khi sử dụng một dự án mã nguồn mở được lưu trữ trên GitHub đã phát hiện ra tài sản tiền điện tử của mình bị đánh cắp. Qua cuộc điều tra sâu sắc, các chuyên gia an ninh đã tiết lộ toàn bộ diễn biến của sự kiện này.

Sự kiện bắt nguồn từ một dự án GitHub mang tên "solana-pumpfun-bot". Dự án này bề ngoài có số lượng star và fork khá cao, nhưng lịch sử commit mã của nó lại rất tập trung, thiếu các đặc điểm cập nhật liên tục. Phân tích sâu hơn cho thấy, dự án phụ thuộc vào một gói bên thứ ba đáng ngờ "crypto-layout-utils".

Gói đáng ngờ này đã bị npm chính thức gỡ bỏ, và phiên bản được chỉ định của nó không có dấu vết nào trong lịch sử chính thức. Bằng cách kiểm tra tệp package-lock.json, các nhà nghiên cứu phát hiện ra rằng kẻ tấn công đã khéo léo thay thế liên kết tải xuống của gói này bằng một địa chỉ của trang phát hành GitHub.

Tải xuống và phân tích gói độc hại bị làm rối này, đội ngũ an ninh đã xác nhận rằng nó chứa mã độc để quét tệp tin trên máy tính người dùng. Ngay khi phát hiện nội dung liên quan đến ví hoặc Khóa riêng, nó sẽ được tải lên máy chủ do kẻ tấn công kiểm soát.

Cuộc điều tra cũng phát hiện ra rằng kẻ tấn công có thể đã kiểm soát nhiều tài khoản GitHub, được sử dụng để phân phối phần mềm độc hại và nâng cao độ tin cậy của dự án. Họ đã thu hút nhiều người dùng hơn bằng cách thực hiện các thao tác Fork và Star, mở rộng quy mô tấn công.

Ngoài "crypto-layout-utils", một gói độc hại khác có tên "bs58-encrypt-utils" cũng đã được sử dụng cho các cuộc tấn công tương tự. Điều này cho thấy kẻ tấn công đã chuyển sang phương thức thay thế liên kết tải xuống để tiếp tục phân phối mã độc sau khi gói bị gỡ bỏ khỏi npm.

Phân tích trên chuỗi cho thấy, số tiền bị đánh cắp đã đi qua một số ví trung gian và cuối cùng chảy về nền tảng giao dịch tiền điện tử.

Sự kiện này nêu bật những thách thức về an ninh mà cộng đồng mã nguồn mở phải đối mặt. Kẻ tấn công đã thành công trong việc lừa đảo người dùng chạy mã chứa các phụ thuộc độc hại bằng cách ngụy trang các dự án hợp pháp, tăng độ nóng, dẫn đến rò rỉ khóa riêng và mất tài sản.

Các chuyên gia an ninh khuyên các nhà phát triển và người dùng nên giữ cảnh giác cao độ đối với các dự án GitHub không rõ nguồn gốc, đặc biệt là những dự án liên quan đến ví hoặc khóa riêng. Nếu cần gỡ lỗi, tốt nhất là thực hiện trong môi trường cách ly để tránh rò rỉ dữ liệu nhạy cảm.

Sự kiện này liên quan đến nhiều kho GitHub độc hại và gói npm, đội ngũ an ninh đã tổng hợp thông tin liên quan để cộng đồng tham khảo. Các nhà phát triển nên cẩn thận khi sử dụng các phụ thuộc bên thứ ba, thường xuyên xem xét an ninh dự án, cùng nhau duy trì sự phát triển lành mạnh của hệ sinh thái mã nguồn mở.