- Chủ đề
22 Phổ biến
29k Phổ biến
14k Phổ biến
2k Phổ biến
917 Phổ biến
5k Phổ biến
4k Phổ biến
11k Phổ biến
45k Phổ biến
136k Phổ biến
- Ghim
22 Phổ biến
29k Phổ biến
14k Phổ biến
2k Phổ biến
917 Phổ biến
5k Phổ biến
4k Phổ biến
11k Phổ biến
45k Phổ biến
136k Phổ biến
Hệ sinh thái Solana bị tấn công bởi gói độc hại NPM, bảo mật tài sản của người dùng đang bị lo ngại.
Hệ sinh thái Solana gặp phải cuộc tấn công từ gói NPM độc hại, tài sản của người dùng đối mặt với rủi ro
Đầu tháng 7 năm 2025, một sự kiện an ninh liên quan đến hệ sinh thái Solana đã thu hút sự chú ý rộng rãi. Một người dùng sau khi sử dụng một dự án mã nguồn mở trên GitHub đã phát hiện ra tài sản tiền điện tử của mình bị đánh cắp. Qua điều tra của đội ngũ an ninh, một hành vi tấn công được thiết kế tinh vi đã được tiết lộ.
Kẻ tấn công giả mạo thành một dự án mã nguồn mở hợp pháp, dụ dỗ người dùng tải xuống và chạy các dự án Node.js chứa mã độc. Dự án có tên "solana-pumpfun-bot" trông có vẻ bình thường, sở hữu số lượng Star và Fork cao, nhưng việc cập nhật mã của nó lại tập trung bất thường, thiếu đặc điểm bảo trì liên tục.
Phân tích sâu cho thấy, dự án đã phụ thuộc vào một gói bên thứ ba nghi ngờ "crypto-layout-utils". Gói này đã bị NPM chính thức gỡ bỏ, nhưng kẻ tấn công đã sửa đổi tệp package-lock.json để chuyển hướng liên kết tải xuống đến một kho GitHub tự kiểm soát. Gói độc hại này đã được làm mờ cao độ, có chức năng quét các tệp trên máy tính của người dùng, ngay khi phát hiện nội dung liên quan đến ví hoặc khóa riêng, nó sẽ được tải lên máy chủ của kẻ tấn công.
Kẻ tấn công cũng đã kiểm soát nhiều tài khoản GitHub, được sử dụng để Fork các dự án độc hại và nâng cao độ tin cậy của chúng. Ngoài "crypto-layout-utils", một gói độc hại khác có tên "bs58-encrypt-utils" cũng đã được sử dụng cho các cuộc tấn công tương tự. Những gói độc hại này đã bắt đầu được phân phối từ giữa tháng 6 năm 2025, nhưng sau khi NPM hành động, kẻ tấn công đã chuyển sang sử dụng cách thay thế liên kết tải xuống để tiếp tục truyền bá.
Phân tích trên chuỗi cho thấy, một phần tài sản bị đánh cắp đã chuyển đến một số nền tảng giao dịch. Phương pháp tấn công này kết hợp kỹ thuật xã hội và kỹ thuật, ngay cả trong nội bộ tổ chức cũng khó có thể phòng ngừa hoàn toàn.
Để phòng ngừa các rủi ro tương tự, khuyến nghị các nhà phát triển và người dùng giữ cảnh giác cao đối với các dự án GitHub không rõ nguồn gốc, đặc biệt là khi liên quan đến ví hoặc thao tác khóa riêng. Nếu cần chạy thử nghiệm, tốt nhất nên thực hiện trong môi trường độc lập và không có dữ liệu nhạy cảm.
Sự kiện này liên quan đến nhiều kho GitHub và gói NPM độc hại, đội ngũ an ninh đã tổng hợp danh sách thông tin liên quan để tham khảo. Cuộc tấn công này nhắc nhở chúng ta một lần nữa rằng, trong hệ sinh thái Web3, ý thức an ninh và thái độ cẩn trọng là vô cùng quan trọng.