- Rubrique
20k Popularité
53k Popularité
4k Popularité
16k Popularité
30k Popularité
988 Popularité
93k Popularité
26k Popularité
26k Popularité
7k Popularité
- Épingler
20k Popularité
53k Popularité
4k Popularité
16k Popularité
30k Popularité
988 Popularité
93k Popularité
26k Popularité
26k Popularité
7k Popularité
Solana a subi un grave incident de sécurité : des paquets NPM malveillants ont volé les clés privées des utilisateurs.
Écosystème Solana confronté à un événement de sécurité majeur : des packages NPM malveillants volent les clés privées des utilisateurs
Début juillet 2025, l'écosystème Solana a été confronté à un grave incident de sécurité. Un utilisateur, après avoir utilisé un projet open source hébergé sur GitHub, a découvert que ses actifs cryptographiques avaient été volés. Après une enquête approfondie menée par des experts en sécurité, une chaîne d'attaques soigneusement conçue a été révélée, impliquant des paquets NPM malveillants, des projets open source déguisés et plusieurs comptes GitHub collaborant.
Origine de l'événement
L'événement provient d'un projet GitHub nommé "solana-pumpfun-bot". Ce projet semble être un outil de l'écosystème Solana basé sur Node.js, mais contient en réalité du code malveillant. Le nombre d'étoiles et de forks du projet est anormalement élevé, mais les dates de soumission de code sont concentrées sur une courte période, manquant de caractéristiques de mise à jour continue.
Analyse des méthodes d'attaque
Une enquête a révélé que le projet dépendait d'un package NPM suspect nommé "crypto-layout-utils". Ce package a été retiré par les autorités, mais les attaquants ont modifié le fichier package-lock.json pour rediriger le lien de téléchargement vers un dépôt GitHub qu'ils contrôlent.
Le paquet malveillant téléchargé utilise une technologie de haut niveau d'obfuscation, augmentant la difficulté d'analyse. Après déobfuscation, il a été découvert que ce paquet scanne les fichiers sensibles sur l'ordinateur de l'utilisateur à la recherche d'informations telles que la clé privée du portefeuille, et les télécharge sur un serveur contrôlé par l'attaquant.
Un attaquant aurait apparemment contrôlé plusieurs comptes GitHub pour Forker des projets malveillants et augmenter leur nombre d'étoiles afin d'accroître la crédibilité et l'attrait du projet.
L'enquête a également révélé que les attaquants utilisaient plusieurs versions de paquets malveillants, y compris "bs58-encrypt-utils", pour augmenter le taux de succès et la persistance de l'attaque.
Flux de fonds
Grâce aux outils d'analyse de la blockchain, une partie des fonds volés a été transférée sur une plateforme d'échange de cryptomonnaies.
Suggestions de défense
Soyez prudent avec les projets GitHub d'origine inconnue, en particulier ceux impliquant des opérations de portefeuille ou de clé privée.
Exécuter et déboguer des projets inconnus dans un environnement indépendant et sans données sensibles.
Vérifiez régulièrement les dépendances du projet et soyez vigilant face aux versions de paquets ou aux liens de téléchargement anormaux.
Utilisez des outils et services de sécurité fiables, et scannez régulièrement les vulnérabilités du système.
Maintenez à jour les logiciels et les correctifs de sécurité.
Cet incident nous rappelle à nouveau l'importance de la sensibilisation à la sécurité et des mesures de protection dans l'écosystème Web3 en pleine évolution. Les développeurs et les utilisateurs doivent rester très vigilants pour préserver ensemble la sécurité de l'écosystème.