- Chủ đề
23k Phổ biến
55k Phổ biến
5k Phổ biến
16k Phổ biến
30k Phổ biến
742 Phổ biến
112k Phổ biến
26k Phổ biến
26k Phổ biến
7k Phổ biến
- Ghim
23k Phổ biến
55k Phổ biến
5k Phổ biến
16k Phổ biến
30k Phổ biến
742 Phổ biến
112k Phổ biến
26k Phổ biến
26k Phổ biến
7k Phổ biến
Dự án mã nguồn mở Solana bị tấn công lừa đảo dẫn đến tài sản của người dùng bị đánh cắp. Cảnh giác với các phụ thuộc độc hại trên GitHub.
Phân tích sự cố tài sản người dùng Solana bị đánh cắp
Vào ngày 2 tháng 7 năm 2025, một người dùng đã yêu cầu sự trợ giúp từ một nhóm an ninh, cho biết họ đã bị mất tài sản tiền điện tử sau khi sử dụng dự án mã nguồn mở "solana-pumpfun-bot" trên GitHub. Nhóm an ninh ngay lập tức tiến hành điều tra.
Cuộc điều tra phát hiện rằng dự án GitHub này có nhiều dấu hiệu bất thường. Đầu tiên, mã dự án được tập trung nộp trong ba tuần trước, thiếu sự cập nhật liên tục. Thứ hai, trong các phụ thuộc của dự án có một gói bên thứ ba đáng ngờ "crypto-layout-utils", gói này đã bị NPM chính thức gỡ bỏ, và phiên bản được chỉ định không xuất hiện trong lịch sử chính thức.
Phân tích sâu hơn cho thấy, kẻ tấn công đã thay thế liên kết tải xuống của "crypto-layout-utils" trong tệp package-lock.json, trỏ đến một gói release của kho GitHub. Gói này đã được làm mờ cao, sau khi giải mờ được xác nhận là mã độc. Gói độc hại sẽ quét các tệp trên máy tính của người dùng, tìm kiếm nội dung liên quan đến ví hoặc khóa riêng, và tải lên máy chủ do kẻ tấn công kiểm soát.
Kẻ tấn công có thể đã kiểm soát một loạt tài khoản GitHub, để Fork các dự án độc hại và tăng số lượng Star, nhằm tăng độ tin cậy của dự án và mở rộng phạm vi truyền bá. Một số dự án Fork đã sử dụng một gói độc hại khác là "bs58-encrypt-utils-1.0.3".
Thông qua công cụ phân tích trên chuỗi, phát hiện một phần tiền bị đánh cắp đã được chuyển đến một sàn giao dịch.
Cuộc tấn công này đã lợi dụng việc giả mạo các dự án mã nguồn mở hợp pháp để dụ dỗ người dùng tải xuống và chạy các dự án Node.js có chứa phụ thuộc độc hại, dẫn đến việc rò rỉ khóa riêng và tài sản bị đánh cắp. Phương pháp tấn công kết hợp giữa kỹ thuật xã hội và kỹ thuật, có tính lừa đảo và khả năng lan truyền mạnh.
Khuyến nghị các nhà phát triển và người dùng nên giữ cảnh giác cao đối với các dự án GitHub không rõ nguồn gốc, đặc biệt là khi liên quan đến ví hoặc thao tác khóa riêng. Nếu cần gỡ lỗi, nên thực hiện trong môi trường độc lập và không có dữ liệu nhạy cảm.
Sự kiện này liên quan đến nhiều kho GitHub và gói NPM độc hại, kẻ tấn công còn lợi dụng các máy chủ kiểm soát để nhận dữ liệu bị đánh cắp. Người dùng nên cẩn thận khi sử dụng các dự án mã nguồn mở, đảm bảo an toàn môi trường để phòng ngừa các cuộc tấn công tương tự.