Dự án Node.js độc hại lợi dụng gói NPM để đánh cắp khóa riêng của người dùng Solana
Vào đầu tháng 7 năm 2025, một vụ trộm tài sản nhắm vào người dùng Solana đã thu hút sự chú ý của các chuyên gia an ninh. Một nạn nhân đã phát hiện tài sản tiền điện tử của mình bị đánh cắp sau khi sử dụng dự án mã nguồn mở "solana-pumpfun-bot" được lưu trữ trên GitHub.
Sau khi đội ngũ an ninh tiến hành điều tra, họ phát hiện ra rằng dự án này thực chất là một cái bẫy được thiết kế tinh vi. Mặc dù số lượng Star và Fork của dự án khá cao, nhưng thời gian nộp mã của nó lại tập trung một cách bất thường, thiếu đi những đặc điểm cập nhật liên tục mà một dự án bình thường nên có.
Phân tích sâu cho thấy, dự án phụ thuộc vào một gói bên thứ ba nghi ngờ có tên "crypto-layout-utils". Gói này đã bị NPM chính thức gỡ bỏ, và phiên bản chỉ định không xuất hiện trong lịch sử chính thức. Kẻ tấn công đã vượt qua cơ chế bảo mật của NPM bằng cách thay thế liên kết tải xuống trong tệp package-lock.json.
Sau khi tải xuống và phân tích gói độc hại được làm rối này, đội ngũ an ninh xác nhận rằng nó có thể quét tệp máy tính của người dùng, và ngay khi phát hiện nội dung liên quan đến ví hoặc Khóa riêng, nó sẽ tải lên máy chủ do kẻ tấn công kiểm soát.
Ngoài ra, kẻ tấn công còn có thể kiểm soát nhiều tài khoản GitHub để phát tán phần mềm độc hại và nâng cao độ tin cậy của dự án. Một số dự án Fork còn sử dụng một gói độc hại khác "bs58-encrypt-utils".
Thông qua phân tích trên chuỗi, các chuyên gia phát hiện rằng số tiền bị đánh cắp đã được chuyển đến một nền tảng giao dịch nào đó.
Sự kiện này làm nổi bật sự nguy hiểm của việc ẩn mã độc trong các dự án mã nguồn mở. Kẻ tấn công đã lợi dụng các dự án hợp pháp được ngụy trang và độ hot cao để thành công dụ dỗ người dùng chạy các dự án Node.js có chứa phụ thuộc độc hại, dẫn đến việc khóa riêng bị rò rỉ và tài sản bị đánh cắp.
Các chuyên gia an ninh khuyên các nhà phát triển và người dùng nên cảnh giác cao độ với các dự án GitHub có nguồn gốc không rõ ràng, đặc biệt là khi liên quan đến ví hoặc Khóa riêng. Nếu cần gỡ lỗi, tốt nhất nên thực hiện trong một môi trường độc lập và không có dữ liệu nhạy cảm.
Loại tấn công này kết hợp giữa kỹ thuật xã hội và kỹ thuật công nghệ, ngay cả trong tổ chức cũng khó có thể phòng ngừa hoàn toàn. Người dùng khi sử dụng các dự án mã nguồn mở cần hết sức thận trọng để bảo vệ an toàn tài sản của mình.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Gói NPM độc hại giả mạo dự án Solana, đánh cắp khóa riêng của người dùng gây ra cảnh báo an ninh.
Dự án Node.js độc hại lợi dụng gói NPM để đánh cắp khóa riêng của người dùng Solana
Vào đầu tháng 7 năm 2025, một vụ trộm tài sản nhắm vào người dùng Solana đã thu hút sự chú ý của các chuyên gia an ninh. Một nạn nhân đã phát hiện tài sản tiền điện tử của mình bị đánh cắp sau khi sử dụng dự án mã nguồn mở "solana-pumpfun-bot" được lưu trữ trên GitHub.
Sau khi đội ngũ an ninh tiến hành điều tra, họ phát hiện ra rằng dự án này thực chất là một cái bẫy được thiết kế tinh vi. Mặc dù số lượng Star và Fork của dự án khá cao, nhưng thời gian nộp mã của nó lại tập trung một cách bất thường, thiếu đi những đặc điểm cập nhật liên tục mà một dự án bình thường nên có.
Phân tích sâu cho thấy, dự án phụ thuộc vào một gói bên thứ ba nghi ngờ có tên "crypto-layout-utils". Gói này đã bị NPM chính thức gỡ bỏ, và phiên bản chỉ định không xuất hiện trong lịch sử chính thức. Kẻ tấn công đã vượt qua cơ chế bảo mật của NPM bằng cách thay thế liên kết tải xuống trong tệp package-lock.json.
Sau khi tải xuống và phân tích gói độc hại được làm rối này, đội ngũ an ninh xác nhận rằng nó có thể quét tệp máy tính của người dùng, và ngay khi phát hiện nội dung liên quan đến ví hoặc Khóa riêng, nó sẽ tải lên máy chủ do kẻ tấn công kiểm soát.
Ngoài ra, kẻ tấn công còn có thể kiểm soát nhiều tài khoản GitHub để phát tán phần mềm độc hại và nâng cao độ tin cậy của dự án. Một số dự án Fork còn sử dụng một gói độc hại khác "bs58-encrypt-utils".
Thông qua phân tích trên chuỗi, các chuyên gia phát hiện rằng số tiền bị đánh cắp đã được chuyển đến một nền tảng giao dịch nào đó.
Sự kiện này làm nổi bật sự nguy hiểm của việc ẩn mã độc trong các dự án mã nguồn mở. Kẻ tấn công đã lợi dụng các dự án hợp pháp được ngụy trang và độ hot cao để thành công dụ dỗ người dùng chạy các dự án Node.js có chứa phụ thuộc độc hại, dẫn đến việc khóa riêng bị rò rỉ và tài sản bị đánh cắp.
Các chuyên gia an ninh khuyên các nhà phát triển và người dùng nên cảnh giác cao độ với các dự án GitHub có nguồn gốc không rõ ràng, đặc biệt là khi liên quan đến ví hoặc Khóa riêng. Nếu cần gỡ lỗi, tốt nhất nên thực hiện trong một môi trường độc lập và không có dữ liệu nhạy cảm.
Loại tấn công này kết hợp giữa kỹ thuật xã hội và kỹ thuật công nghệ, ngay cả trong tổ chức cũng khó có thể phòng ngừa hoàn toàn. Người dùng khi sử dụng các dự án mã nguồn mở cần hết sức thận trọng để bảo vệ an toàn tài sản của mình.