Activos de usuarios de Solana robados: Código abierto oculta código malicioso
A principios de julio de 2025, un usuario descubrió que sus activos criptográficos habían sido robados tras utilizar un proyecto de Código abierto en GitHub, y de inmediato buscó ayuda del equipo de seguridad. La investigación reveló que se trataba de un ataque meticulosamente planificado, que involucraba proyectos de Código abierto disfrazados y paquetes NPM maliciosos.
Los investigadores primero visitaron el repositorio de GitHub del proyecto en cuestión. Aunque el proyecto tiene un alto número de estrellas y bifurcaciones, el tiempo de envío de su código se concentra en hace tres semanas, careciendo de características de actualización continua, lo que despertó las sospechas de los investigadores.
Un análisis adicional revela que el proyecto depende de un paquete de terceros llamado crypto-layout-utils. Este paquete ha sido retirado oficialmente de NPM y la versión especificada en package.json no existe en el historial oficial de NPM.
Las pistas clave aparecen en el archivo package-lock.json: el atacante reemplazó el enlace de descarga de crypto-layout-utils por una dirección en GitHub. Después de descargar y analizar este paquete de dependencia sospechoso, los investigadores descubrieron que se trataba de un código malicioso altamente ofuscado.
Después de desconfundir, se confirma que este paquete NPM escaneará los archivos en la computadora del usuario en busca de contenido relacionado con billeteras o claves privadas, y una vez que lo encuentre, lo subirá a un servidor controlado por el atacante.
La investigación también descubrió que los atacantes podrían haber controlado varias cuentas de GitHub para replicar proyectos maliciosos y aumentar su credibilidad. Algunos proyectos relacionados utilizaron otro paquete malicioso bs58-encrypt-utils-1.0.3, que comenzó a distribuirse a partir del 12 de junio de 2025.
A través de herramientas de análisis en la cadena, se descubrió que una dirección de atacante, después de robar fondos, los transfirió a una plataforma de intercambio de criptomonedas.
En general, este ataque se llevó a cabo disfrazándose como un proyecto de Código abierto legítimo, induciendo a los usuarios a descargar y ejecutar software que contenía código malicioso. Los atacantes también aumentaron la popularidad del proyecto para incrementar su credibilidad, lo que llevó a los usuarios a ejecutar un proyecto con dependencias maliciosas sin ninguna preparación, resultando en la filtración de claves privadas y robo de activos.
Este método de ataque combina ingeniería social y técnicas técnicas, lo que hace que sea difícil de defender completamente incluso dentro de una organización. Se recomienda a los desarrolladores y usuarios que mantengan una alta vigilancia sobre los proyectos de GitHub de origen desconocido, especialmente aquellos que involucran operaciones con billeteras o claves privadas. Si se necesita ejecutar depuración, es mejor hacerlo en un entorno independiente y sin datos sensibles.
Información del proyecto involucrado y del paquete malicioso
Varios repositorios de GitHub han sido encontrados participando en la propagación de código malicioso, incluyendo pero no limitado a:
2723799947qq2022/solana-pumpfun-bot
2kwkkk/bot-de-bombeo-de-solana
790659193qqch/solana-pumpfun-bot
7arlystar/solana-pumpfun-bot
918715c83/solana-pumpfun-bot
Paquete NPM malicioso:
crypto-layout-utils
bs58-encrypt-utils
Nombre de dominio del servidor controlado por el atacante:
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
13 me gusta
Recompensa
13
3
Compartir
Comentar
0/400
LightningAllInHero
· hace11h
¡La moneda ha sido tomada a la gente por tonta! No aprendes la lección.
Ver originalesResponder0
OffchainWinner
· hace11h
Otra nueva tonto ha nacido
Ver originalesResponder0
CryptoFortuneTeller
· hace11h
¿Quién todavía cree que los proyectos de Código abierto son seguros? Quien los use, tendrá mala suerte.
El proyecto Solana sufrió un ataque de código malicioso, las llaves privadas de los usuarios fueron robadas y los activos se perdieron.
Activos de usuarios de Solana robados: Código abierto oculta código malicioso
A principios de julio de 2025, un usuario descubrió que sus activos criptográficos habían sido robados tras utilizar un proyecto de Código abierto en GitHub, y de inmediato buscó ayuda del equipo de seguridad. La investigación reveló que se trataba de un ataque meticulosamente planificado, que involucraba proyectos de Código abierto disfrazados y paquetes NPM maliciosos.
Los investigadores primero visitaron el repositorio de GitHub del proyecto en cuestión. Aunque el proyecto tiene un alto número de estrellas y bifurcaciones, el tiempo de envío de su código se concentra en hace tres semanas, careciendo de características de actualización continua, lo que despertó las sospechas de los investigadores.
Un análisis adicional revela que el proyecto depende de un paquete de terceros llamado crypto-layout-utils. Este paquete ha sido retirado oficialmente de NPM y la versión especificada en package.json no existe en el historial oficial de NPM.
Las pistas clave aparecen en el archivo package-lock.json: el atacante reemplazó el enlace de descarga de crypto-layout-utils por una dirección en GitHub. Después de descargar y analizar este paquete de dependencia sospechoso, los investigadores descubrieron que se trataba de un código malicioso altamente ofuscado.
Después de desconfundir, se confirma que este paquete NPM escaneará los archivos en la computadora del usuario en busca de contenido relacionado con billeteras o claves privadas, y una vez que lo encuentre, lo subirá a un servidor controlado por el atacante.
La investigación también descubrió que los atacantes podrían haber controlado varias cuentas de GitHub para replicar proyectos maliciosos y aumentar su credibilidad. Algunos proyectos relacionados utilizaron otro paquete malicioso bs58-encrypt-utils-1.0.3, que comenzó a distribuirse a partir del 12 de junio de 2025.
A través de herramientas de análisis en la cadena, se descubrió que una dirección de atacante, después de robar fondos, los transfirió a una plataforma de intercambio de criptomonedas.
En general, este ataque se llevó a cabo disfrazándose como un proyecto de Código abierto legítimo, induciendo a los usuarios a descargar y ejecutar software que contenía código malicioso. Los atacantes también aumentaron la popularidad del proyecto para incrementar su credibilidad, lo que llevó a los usuarios a ejecutar un proyecto con dependencias maliciosas sin ninguna preparación, resultando en la filtración de claves privadas y robo de activos.
Este método de ataque combina ingeniería social y técnicas técnicas, lo que hace que sea difícil de defender completamente incluso dentro de una organización. Se recomienda a los desarrolladores y usuarios que mantengan una alta vigilancia sobre los proyectos de GitHub de origen desconocido, especialmente aquellos que involucran operaciones con billeteras o claves privadas. Si se necesita ejecutar depuración, es mejor hacerlo en un entorno independiente y sin datos sensibles.
Información del proyecto involucrado y del paquete malicioso
Varios repositorios de GitHub han sido encontrados participando en la propagación de código malicioso, incluyendo pero no limitado a:
Paquete NPM malicioso:
Nombre de dominio del servidor controlado por el atacante: