Usuários de Solana enfrentam incidentes de roubo de chave privada, pacotes NPM maliciosos se tornam os culpados

No início de julho de 2025, um incidente de roubo de ativos direcionado a usuários de Solana chamou a atenção dos especialistas em segurança. O incidente surgiu quando a vítima usou um projeto de código aberto hospedado no GitHub chamado solana-pumpfun-bot, resultando no roubo de ativos criptográficos.

Após a investigação da equipe de segurança, descobriu-se que, embora o projeto tenha um número elevado de Star e Fork, os tempos de submissão de código são anormalmente concentrados, faltando características de atualizações contínuas. Análises adicionais revelaram que o projeto dependia de um pacote de terceiros suspeito, crypto-layout-utils, que foi removido oficialmente do NPM.

Os investigadores descobriram no arquivo package-lock.json que os atacantes substituíram o link de download do crypto-layout-utils por uma versão de um repositório do GitHub. Esta versão foi altamente ofuscada e é, na realidade, um pacote NPM malicioso, capaz de escanear arquivos sensíveis no computador do usuário e enviar conteúdos que contêm Chave privada para um servidor controlado pelos atacantes.

Os atacantes também podem ter controlado várias contas do GitHub, usadas para Fork de projetos maliciosos e aumentar sua credibilidade. Além de crypto-layout-utils, foi descoberto outro pacote malicioso chamado bs58-encrypt-utils que participou do ataque.

Através de ferramentas de análise on-chain, a equipe de segurança rastreou que parte dos fundos roubados foram direcionados para uma determinada plataforma de negociação.

Este incidente destaca os riscos de segurança ocultos em projetos de código aberto. Os atacantes, disfarçando-se de projetos legítimos e combinando engenharia social com meios técnicos, conseguiram induzir os usuários a executarem códigos com dependências maliciosas, resultando na divulgação da chave privada e na perda de ativos.

Especialistas em segurança recomendam que desenvolvedores e usuários mantenham uma vigilância elevada em relação a projetos do GitHub de origem desconhecida, especialmente quando envolvem operações de carteira ou Chave privada. Se precisar depurar, é melhor fazê-lo em um ambiente isolado e sem dados sensíveis.

Este incidente envolve vários repositórios maliciosos do GitHub e pacotes NPM, e a equipe de segurança organizou informações relevantes para referência. Com a evolução contínua das técnicas de ataque, os usuários devem ter um cuidado extra ao utilizar projetos de código aberto, a fim de se proteger contra ameaças de segurança potenciais.