Pada 2 Juli 2025, seorang pengguna meminta bantuan tim keamanan, mengklaim bahwa aset kripto mereka dicuri setelah menggunakan sebuah proyek open-source di GitHub. Setelah diselidiki, ditemukan bahwa ini adalah kejadian serangan yang memanfaatkan paket NPM jahat untuk mencuri kunci pribadi.
Latar Belakang Peristiwa
Korban menggunakan proyek GitHub bernama "solana-pumpfun-bot", dan kemudian menemukan bahwa asetnya dicuri. Meskipun proyek tersebut memiliki jumlah bintang dan cabang yang tinggi, waktu pengiriman kode sangat terkonsentrasi, dan kurang pembaruan yang berkelanjutan.
Analisis Metode Serangan
Proyek ini mengacu pada paket pihak ketiga yang mencurigakan "crypto-layout-utils", yang telah dihapus oleh NPM resmi.
Penyerang mengganti tautan unduhan paket dependensi di package-lock.json, mengarah ke repositori GitHub.
Paket jahat telah melalui tingkat kebingungan yang tinggi, memungkinkan untuk memindai file komputer pengguna, dan begitu menemukan konten yang terkait dengan dompet atau kunci pribadi, akan diunggah ke server yang dikelola oleh penyerang.
Penyerang mungkin mengendalikan beberapa akun GitHub untuk menyebarkan perangkat lunak berbahaya dan meningkatkan kredibilitas proyek.
Beberapa proyek Fork menggunakan paket jahat lainnya "bs58-encrypt-utils-1.0.3".
Arah Aliran Dana
Analisis di blockchain menunjukkan bahwa penyerang telah mentransfer dana yang dicuri ke sebuah platform perdagangan.
Saran Pencegahan
Waspada terhadap proyek GitHub yang sumbernya tidak jelas, terutama yang melibatkan dompet atau operasi kunci pribadi.
Menjalankan dan men-debug proyek yang tidak diketahui dalam lingkungan yang independen dan tanpa data sensitif.
Pengembang harus memeriksa dengan cermat ketergantungan proyek, terutama memperhatikan paket pihak ketiga yang mencurigakan.
Secara berkala memeriksa dan memperbarui ketergantungan proyek, serta segera menghapus komponen yang berisiko.
Gunakan alat dan layanan keamanan yang tepercaya, seperti alat pelacakan aset on-chain, untuk segera mendeteksi anomali.
Serangan semacam ini menggabungkan rekayasa sosial dan teknik, sehingga sulit untuk sepenuhnya dilindungi. Pengguna dan pengembang harus meningkatkan kesadaran keamanan dan mengambil langkah perlindungan ganda untuk mengurangi risiko serangan.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Proyek Sumber Terbuka Solana Menyimpan Rahasia Tersembunyi Paket NPM Berbahaya Mencuri Kunci Pribadi Pengguna
Analisis Kasus Pencurian Aset Pengguna Solana
Pada 2 Juli 2025, seorang pengguna meminta bantuan tim keamanan, mengklaim bahwa aset kripto mereka dicuri setelah menggunakan sebuah proyek open-source di GitHub. Setelah diselidiki, ditemukan bahwa ini adalah kejadian serangan yang memanfaatkan paket NPM jahat untuk mencuri kunci pribadi.
Latar Belakang Peristiwa
Korban menggunakan proyek GitHub bernama "solana-pumpfun-bot", dan kemudian menemukan bahwa asetnya dicuri. Meskipun proyek tersebut memiliki jumlah bintang dan cabang yang tinggi, waktu pengiriman kode sangat terkonsentrasi, dan kurang pembaruan yang berkelanjutan.
Analisis Metode Serangan
Arah Aliran Dana
Analisis di blockchain menunjukkan bahwa penyerang telah mentransfer dana yang dicuri ke sebuah platform perdagangan.
Saran Pencegahan
Waspada terhadap proyek GitHub yang sumbernya tidak jelas, terutama yang melibatkan dompet atau operasi kunci pribadi.
Menjalankan dan men-debug proyek yang tidak diketahui dalam lingkungan yang independen dan tanpa data sensitif.
Pengembang harus memeriksa dengan cermat ketergantungan proyek, terutama memperhatikan paket pihak ketiga yang mencurigakan.
Secara berkala memeriksa dan memperbarui ketergantungan proyek, serta segera menghapus komponen yang berisiko.
Gunakan alat dan layanan keamanan yang tepercaya, seperti alat pelacakan aset on-chain, untuk segera mendeteksi anomali.
Serangan semacam ini menggabungkan rekayasa sosial dan teknik, sehingga sulit untuk sepenuhnya dilindungi. Pengguna dan pengembang harus meningkatkan kesadaran keamanan dan mengambil langkah perlindungan ganda untuk mengurangi risiko serangan.