注意: 暗号資産 ウォレットを空にする新しいウイルスが発見されました！こちらが犯人のプログラムと取るべき措置です

サイバーセキュリティ企業SlowMistは、GitHubで公開され、コミュニティで注目を集めているオープンソースの「solana-pumpfun-bot」というプロジェクトがユーザーのウォレットを標的にした詐欺計画を含んでいることを明らかにしました。同社の情報によれば、プロジェクトを実行しているユーザーのウォレットにある暗号通貨が盗まれ、その資金の一部はFixedFloatというプラットフォームに移動されました。

事件は、2025年7月2日に被害者のユーザーがSlowMistチームに相談したことで明らかになりました。ユーザーの証言によると、1日前にGitHubの「zldp2002/solana-pumpfun-bot」プロジェクトを使用し始めた後、ウォレットの暗号通貨が盗まれました。

SlowMistによる事件後の分析では、プロジェクトがNode.jsベースであり、「crypto-layout-utils」という疑わしいサードパーティパッケージに依存していることが確認されました。このパッケージはNPMの公式レジストリには存在せず、プラットフォームから削除されています。調査の結果、悪意のあるソフトウェア開発者がpackage-lock.jsonファイル内のリンクを変更し、ユーザーを悪質なソフトウェアのインストールに誘導していたことが特定されました。

SlowMistの専門家は、ダウンロードされた「crypto-layout-utils-1.3.1」パッケージが複雑で隠されたコードを含んでいることを明らかにし、解析の結果、これらのコードがユーザーのコンピュータ上のウォレットや秘密鍵を含むファイルをスキャンし、これらのデータを「githubshadow.xyz」と呼ばれる攻撃者のサーバーに送信していることを報告しました。

また、分析では、該当プロジェクトの開発者であるとされるGitHubユーザーが(zldp2002)の多数の偽アカウントを管理しており、これらのアカウントを通じてプロジェクトをフォークしてより多くのユーザーに到達することを目指していると報告されています。一部のフォークでは、異なる有害なNPMパッケージである「bs58-encrypt-utils-1.0.3」が使用されています。

事件後、SlowMistはMistTrackというチェーン上の分析ツールを使用して追跡を行い、攻撃者が盗んだ暗号通貨の一部をFixedFloatプラットフォームに移したことを確認しました。マルウェア攻撃は2025年6月12日以降にアクティブであると考えられています。

SlowMistは、特に秘密鍵またはウォレット操作を含むプロジェクトにおいて、GitHubのようなオープンソースコードプラットフォームからダウンロードされたソフトウェアに対してユーザーが非常に注意を払う必要があると述べました。必要な場合は、このようなプロジェクトを機密データを含まない隔離されたマシンで実行することが推奨されました。