Analyse des incidents de vol d’actifs des utilisateurs de Solana causés par des paquets NPM malveillants volants des clés privées

Le 2 juillet 2025, un utilisateur a demandé de l’aide à l’équipe de sécurité pour analyser les raisons du vol de ses actifs cryptographiques. L’incident est survenu après que cet utilisateur a utilisé un projet open source hébergé sur GitHub la veille.

L’équipe de sécurité a immédiatement ouvert une enquête. Après avoir accédé au dépôt GitHub du projet, il a été constaté que, malgré un nombre élevé d’étoiles et de forks, les dates de soumission du code étaient concentrées il y a trois semaines, présentant des caractéristiques anormales et manquant de la trajectoire de mise à jour continue qu’un projet normal devrait avoir.

En tant que projet basé sur Node.js, l’équipe de sécurité a d’abord analysé ses dépendances. Elle a découvert que le projet faisait référence à un package tiers nommé crypto-layout-utils, qui a été retiré par NPM, et que la version spécifiée dans le package.json n’apparaît pas dans les historiques officiels de NPM.

Une enquête plus approfondie a révélé que les attaquants avaient remplacé le lien de téléchargement de crypto-layout-utils dans le fichier package-lock.json par l’adresse de leur propre dépôt GitHub. Après avoir téléchargé et analysé ce paquet de dépendances suspect, il a été constaté que son code avait été fortement obfusqué.

Après désobfuscation, il a été confirmé qu’il s’agit d’un package NPM malveillant. L’attaquant a implémenté dans le package une logique pour scanner les fichiers de l’ordinateur de l’utilisateur, et dès qu’il trouve des contenus liés à un portefeuille ou à une clé privée, ils seront téléchargés sur un serveur contrôlé par l’attaquant.

L’auteur du projet semble contrôler un certain nombre de comptes GitHub, utilisés pour forker des projets malveillants et les distribuer, tout en augmentant le nombre de forks et d’étoiles du projet, attirant ainsi plus d’utilisateurs et élargissant la portée de la propagation des programmes malveillants.

L’équipe de sécurité a également découvert que plusieurs projets Fork présentaient des comportements malveillants similaires, certaines versions utilisant un autre paquet malveillant bs58-encrypt-utils-1.0.3. Ce paquet malveillant a été créé le 12 juin 2025, et il est supposé que les attaquants ont commencé à distribuer des paquets NPM malveillants et des projets Node.js à partir de ce moment-là.

Grâce à des outils d’analyse en chaîne, il a été découvert que l’attaquant avait transféré les fonds volés vers une certaine plateforme d’échange.

Lors de cette attaque, les attaquants se sont fait passer pour un projet open source légitime, incitant les utilisateurs à télécharger et à exécuter du code malveillant. Les attaquants ont gonflé la popularité du projet, amenant les utilisateurs à exécuter sans méfiance un projet Node.js contenant des dépendances malveillantes, entraînant la fuite de la clé privée du portefeuille et le vol des actifs.

L’attaque implique la collaboration de plusieurs comptes GitHub, élargissant la portée de la propagation et augmentant la crédibilité, avec une forte capacité de tromperie. Ce type d’attaque combine l’ingénierie sociale et des techniques, rendant même la défense complète difficile au sein de l’organisation.

Il est conseillé aux développeurs et aux utilisateurs de rester très vigilants face aux projets GitHub d’origine inconnue, surtout lorsqu’il s’agit d’opérations sur des portefeuilles ou des clés privées. En cas de besoin de débogage, il est recommandé de le faire dans un environnement isolé et sans données sensibles.