Solanaユーザーの資産の盗難に関する分析

2025年7月2日、あるユーザーがあるセキュリティチームに助けを求め、GitHub上のオープンソースプロジェクト「solana-pumpfun-bot」を使用した後に暗号資産を盗まれたと報告しました。セキュリティチームは直ちに調査を開始しました。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

調査の結果、このGitHubプロジェクトにはいくつかの異常な兆候が存在します。まず、プロジェクトのコードは3週間前に集中して提出されており、継続的な更新が不足しています。次に、プロジェクトの依存関係には疑わしいサードパーティパッケージ「crypto-layout-utils」が含まれており、このパッケージはNPMの公式から削除されており、指定されたバージョンは公式の履歴には存在していません。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

さらに分析した結果、攻撃者はpackage-lock.jsonファイル内で"crypto-layout-utils"のダウンロードリンクを置き換え、GitHubリポジトリのリリースパッケージを指すようにしていました。このパッケージは高度に難読化されており、難読化を解除した後に悪意のあるコードであることが確認されました。悪意のあるパッケージは、ユーザーのコンピュータのファイルをスキャンし、ウォレットや秘密鍵に関連する内容を探し、攻撃者が制御するサーバーにアップロードします。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれます

攻撃者は、悪意のあるプロジェクトをフォークしてスターの数を増やし、プロジェクトの信頼性を高め、拡散範囲を広げるために、一部のGitHubアカウントを制御している可能性があります。いくつかのフォークプロジェクトは、別の悪意のあるパッケージ「bs58-encrypt-utils-1.0.3」を使用しています。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaユーザー資産が盗まれる

オンチェーン分析ツールを通じて追跡したところ、一部の盗まれた資金がある取引所に移動されたことが判明しました。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

今回の攻撃は、合法的なオープンソースプロジェクトを偽装することで、ユーザーに悪意のある依存関係を含むNode.jsプロジェクトをダウンロードして実行させ、秘密鍵の漏洩と資産の盗難を引き起こしました。攻撃手法は社会工学と技術的手段を組み合わせており、強い欺瞞性と拡散性を持っています。

開発者とユーザーは、特にウォレットや秘密鍵の操作に関する場合、出所不明のGitHubプロジェクトに対して高い警戒心を持つべきです。デバッグが必要な場合は、独立した敏感データのない環境で行うべきです。

この事件は、複数の悪意のあるGitHubリポジトリとNPMパッケージに関与しており、攻撃者は自動制御サーバーを利用して盗まれたデータを受信しました。ユーザーはオープンソースプロジェクトを慎重に使用し、環境の安全を確保して、同様の攻撃を防ぐべきです。

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる

! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる