- Tema
17k Popularidad
51k Popularidad
3k Popularidad
15k Popularidad
30k Popularidad
858 Popularidad
93k Popularidad
26k Popularidad
26k Popularidad
7k Popularidad
- Anclado
17k Popularidad
51k Popularidad
3k Popularidad
15k Popularidad
30k Popularidad
858 Popularidad
93k Popularidad
26k Popularidad
26k Popularidad
7k Popularidad
El ataque de phishing en el proyecto de código abierto de Solana ha llevado al robo de activos de los usuarios. Tenga cuidado con las dependencias maliciosas en GitHub.
Análisis del incidente de robo de activos de usuarios de Solana
El 2 de julio de 2025, un usuario pidió ayuda a un equipo de seguridad, afirmando que había sufrido el robo de activos criptográficos tras utilizar el proyecto de código abierto "solana-pumpfun-bot" en GitHub. El equipo de seguridad inició de inmediato una investigación.
La investigación ha descubierto múltiples señales anómalas en este proyecto de GitHub. Primero, el código del proyecto se concentró en envíos hace tres semanas, careciendo de actualizaciones continuas. En segundo lugar, las dependencias del proyecto incluyen un paquete de terceros sospechoso "crypto-layout-utils", que ha sido retirado por NPM, y la versión especificada no aparece en el historial oficial.
Un análisis más detallado reveló que los atacantes reemplazaron el enlace de descarga de "crypto-layout-utils" en el archivo package-lock.json, redirigiendo a un paquete de release de un repositorio de GitHub. Este paquete estaba altamente ofuscado y, tras la desofuscación, se confirmó que contenía código malicioso. El paquete malicioso escanea los archivos del ordenador del usuario en busca de contenido relacionado con billeteras o claves privadas, y lo sube a un servidor controlado por los atacantes.
Los atacantes también pueden haber controlado un lote de cuentas de GitHub para bifurcar proyectos maliciosos y aumentar la cantidad de estrellas, con el fin de aumentar la credibilidad del proyecto y ampliar su alcance. Algunos proyectos bifurcados utilizaron otro paquete malicioso "bs58-encrypt-utils-1.0.3".
A través de herramientas de análisis en cadena, se ha descubierto que parte de los fondos robados se han transferido a una cierta plataforma de intercambio.
Este ataque se llevó a cabo disfrazando proyectos de código abierto legítimos, induciendo a los usuarios a descargar y ejecutar proyectos de Node.js que contienen dependencias maliciosas, lo que resulta en la filtración de claves privadas y el robo de activos. La técnica del ataque combina ingeniería social y métodos técnicos, siendo altamente engañosa y propagable.
Se recomienda a los desarrolladores y usuarios mantener una alta vigilancia sobre los proyectos de GitHub de origen desconocido, especialmente aquellos que implican operaciones con billeteras o claves privadas. Si es necesario depurar, debe hacerse en un entorno aislado y sin datos sensibles.
Este evento implica múltiples repositorios maliciosos de GitHub y paquetes de NPM, y los atacantes también utilizaron servidores de control propio para recibir los datos robados. Los usuarios deben tener cuidado al usar proyectos de código abierto y asegurarse de que el entorno sea seguro para prevenir ataques similares.