# ソラナユーザーが悪意のあるNPMパッケージによる秘密鍵盗取事件を分析2025年7月初、あるソラナユーザーがセキュリティチームに助けを求め、GitHub上のオープンソースプロジェクトを使用した後に暗号資産が盗まれたと報告しました。調査の結果、これは悪意のあるNPMパッケージを利用してユーザーの秘密鍵を盗む攻撃事件であることが判明しました。## 何が起こったのか被害者は、solana-pumpfun-botという名前のGitHubプロジェクトを使用しました。このプロジェクトは正常に見え、StarとForkの数が多いです。しかし、プロジェクトのコードの更新日時が3週間前に集中しており、継続的な更新の特徴が欠けています。さらに分析したところ、プロジェクトは疑わしいサードパーティのパッケージcrypto-layout-utilsに依存していることがわかりました。このパッケージはNPM公式から削除されており、指定されたバージョンには履歴がありませんでした。攻撃者はpackage-lock.jsonファイルを変更することで、依存パッケージのダウンロードリンクを自分が管理するGitHubリポジトリに向けていました。! [悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる](https://img-cdn.gateio.im/social/moments-7c1b27cb5c44f6ffd4f57c5ef2a59c78)## 悪意のあるパケット分析セキュリティチームは疑わしいcrypto-layout-utils-1.3.1パッケージをダウンロードして分析し、そのコードが高度に難読化されていることを発見しました。難読化を解除した結果、これは悪意のあるNPMパッケージであり、ユーザーのコンピュータ上の機密ファイルをスキャンし、ウォレットや秘密鍵に関連する内容を発見すると、攻撃者のサーバーにアップロードすることが確認されました。! [悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる](https://img-cdn.gateio.im/social/moments-a15d9d2ee4aa8d8bedbe5404f8071674)## 攻撃手口攻撃者は複数のGitHubアカウントを制御している可能性があり、悪意のあるプログラムを配布してプロジェクトの人気を高めています。彼らは合法的なオープンソースプロジェクトに偽装し、ユーザーに悪意のある依存関係を含むNode.jsコードをダウンロードして実行させることで、秘密鍵を盗み取ります。さらに、もう一つの悪意のあるパッケージbs58-encrypt-utils-1.0.3が発見され、攻撃活動は2025年6月中旬に始まった可能性があると推測されています。! [悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる](https://img-cdn.gateio.im/social/moments-92270590754eee1f3c64701b925a6879)! [悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる](https://img-cdn.gateio.im/social/moments-45385fac079be08f026846fa307046c9)! [悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれます](https://img-cdn.gateio.im/social/moments-4157e5ce89dc289397d318a7ac72b5e3)! [悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる](https://img-cdn.gateio.im/social/moments-6435ede5af6de3a2053b873ef8018cf2)! [悪意のあるNPMパッケージが秘密鍵を盗み、Solanaユーザー資産が盗まれる](https://img-cdn.gateio.im/social/moments-90a997621185674ab87ea69625c794a5)! [悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる](https://img-cdn.gateio.im/social/moments-702c2acd9c8ef126e067d87ebba33087)## お金の行き先オンチェーン分析ツールを通じて、盗まれた資金の一部が特定の取引所に移動されたことが発見されました。! [悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる](https://img-cdn.gateio.im/social/moments-c157bcdab010c7fabda1ae1595bababe)! [悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる](https://img-cdn.gateio.im/social/moments-472221aa8ff3517457aade46eec5c094)## セキュリティの提案1. 出所不明のGitHubプロジェクトには警戒を怠らないこと、特にウォレット操作に関わるプロジェクトについて。2. 必要に応じて、隔離環境で未知のプロジェクトを実行し、デバッグします。3. 開発者は第三者の依存関係を慎重にレビューし、疑わしいパッケージやダウンロードリンクに警戒すべきです。4. 定期的にプロジェクトの依存関係をチェックし、更新し、安全上の問題があるコンポーネントを迅速に削除します。5. 信頼できるセキュリティツールを使用して、定期的にプロジェクトコードをスキャンし、潜在的な脅威を早期に発見します。今回の事件は再び、攻撃者が新しい手法を次々と開発し、オープンソースエコシステムに対して攻撃を仕掛けていることを示しています。開発者とユーザーは共にセキュリティ意識を高め、健全なオープンソース環境を維持する必要があります。! [悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる](https://img-cdn.gateio.im/social/moments-0373c883638c58f7ea0ee4d8f6d57f93)
ソラナエコシステムで再び秘密鍵の盗難が発生、悪意のあるNPMパッケージがオープンソースプロジェクトに偽装している。
ソラナユーザーが悪意のあるNPMパッケージによる秘密鍵盗取事件を分析
2025年7月初、あるソラナユーザーがセキュリティチームに助けを求め、GitHub上のオープンソースプロジェクトを使用した後に暗号資産が盗まれたと報告しました。調査の結果、これは悪意のあるNPMパッケージを利用してユーザーの秘密鍵を盗む攻撃事件であることが判明しました。
何が起こったのか
被害者は、solana-pumpfun-botという名前のGitHubプロジェクトを使用しました。このプロジェクトは正常に見え、StarとForkの数が多いです。しかし、プロジェクトのコードの更新日時が3週間前に集中しており、継続的な更新の特徴が欠けています。
さらに分析したところ、プロジェクトは疑わしいサードパーティのパッケージcrypto-layout-utilsに依存していることがわかりました。このパッケージはNPM公式から削除されており、指定されたバージョンには履歴がありませんでした。攻撃者はpackage-lock.jsonファイルを変更することで、依存パッケージのダウンロードリンクを自分が管理するGitHubリポジトリに向けていました。
! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる
悪意のあるパケット分析
セキュリティチームは疑わしいcrypto-layout-utils-1.3.1パッケージをダウンロードして分析し、そのコードが高度に難読化されていることを発見しました。難読化を解除した結果、これは悪意のあるNPMパッケージであり、ユーザーのコンピュータ上の機密ファイルをスキャンし、ウォレットや秘密鍵に関連する内容を発見すると、攻撃者のサーバーにアップロードすることが確認されました。
! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる
攻撃手口
攻撃者は複数のGitHubアカウントを制御している可能性があり、悪意のあるプログラムを配布してプロジェクトの人気を高めています。彼らは合法的なオープンソースプロジェクトに偽装し、ユーザーに悪意のある依存関係を含むNode.jsコードをダウンロードして実行させることで、秘密鍵を盗み取ります。
さらに、もう一つの悪意のあるパッケージbs58-encrypt-utils-1.0.3が発見され、攻撃活動は2025年6月中旬に始まった可能性があると推測されています。
! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる
! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる
! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれます
! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる
! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaユーザー資産が盗まれる
! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる
お金の行き先
オンチェーン分析ツールを通じて、盗まれた資金の一部が特定の取引所に移動されたことが発見されました。
! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる
! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる
セキュリティの提案
出所不明のGitHubプロジェクトには警戒を怠らないこと、特にウォレット操作に関わるプロジェクトについて。
必要に応じて、隔離環境で未知のプロジェクトを実行し、デバッグします。
開発者は第三者の依存関係を慎重にレビューし、疑わしいパッケージやダウンロードリンクに警戒すべきです。
定期的にプロジェクトの依存関係をチェックし、更新し、安全上の問題があるコンポーネントを迅速に削除します。
信頼できるセキュリティツールを使用して、定期的にプロジェクトコードをスキャンし、潜在的な脅威を早期に発見します。
今回の事件は再び、攻撃者が新しい手法を次々と開発し、オープンソースエコシステムに対して攻撃を仕掛けていることを示しています。開発者とユーザーは共にセキュリティ意識を高め、健全なオープンソース環境を維持する必要があります。
! 悪意のあるNPMパッケージが秘密鍵を盗み、Solanaのユーザー資産が盗まれる