L'écosystème Solana subit une attaque malveillante de paquets NPM, les clés privées des utilisateurs sont volées

Début juillet 2025, un grave incident de sécurité a éclaté dans l'écosystème Solana. Un utilisateur a découvert que ses actifs cryptographiques avaient été volés après avoir utilisé un projet open source hébergé sur GitHub. Après enquête de l'équipe de sécurité, cet incident provenait d'un package NPM malveillant soigneusement déguisé.

Une enquête a révélé que ce projet nommé "solana-pumpfun-bot" semble normal, avec un nombre élevé d'étoiles et de forks. Cependant, ses soumissions de code sont anormalement concentrées et manquent de caractéristiques de mise à jour continue. Le projet dépend d'un paquet tiers suspect "crypto-layout-utils", qui a été retiré de l'officiel NPM.

Une analyse plus approfondie révèle que les attaquants ont redirigé les utilisateurs vers une version malveillante hébergée sur GitHub en remplaçant le lien de téléchargement dans le fichier package-lock.json. Cette version est fortement obfusquée et sa fonctionnalité principale consiste à scanner les fichiers sensibles sur l'ordinateur de l'utilisateur, en particulier ceux liés aux portefeuilles de cryptomonnaies et aux Clés privées, et à télécharger ces informations vers un serveur contrôlé par les attaquants.

Les attaquants ont également adopté une stratégie de coopération multi-comptes, en utilisant un grand nombre d'opérations Fork et Star pour augmenter la crédibilité du projet et élargir la portée des victimes. En plus de "crypto-layout-utils", un autre paquet malveillant nommé "bs58-encrypt-utils" a également été découvert impliqué dans cette affaire.

Cette méthode d'attaque combine l'ingénierie sociale et la tromperie technique, présentant une forte capacité de dissimulation et de tromperie. Elle cible non seulement les utilisateurs individuels, mais peut également représenter une menace pour les organisations. Les experts en sécurité recommandent aux développeurs et aux utilisateurs de rester extrêmement vigilants lorsqu'ils utilisent des projets GitHub d'origine inconnue, surtout dans des scénarios impliquant des opérations sensibles. En cas de besoin de débogage, il est préférable de le faire dans un environnement sécurisé et isolé.

Cet événement souligne à nouveau les défis de sécurité auxquels la communauté open source est confrontée. Il nous rappelle que, tout en profitant des avantages de l'open source, nous devons également rester vigilants face aux risques de sécurité potentiels. Pour l'écosystème Solana, c'est sans aucun doute un signal d'alarme, appelant toutes les parties à renforcer la sensibilisation à la sécurité et à améliorer les mesures de protection.