A empresa de cibersegurança SlowMist revelou que o projeto de código aberto chamado "solana-pumpfun-bot", publicado no GitHub e que chamou a atenção da comunidade, contém um plano de fraude que visa as carteiras dos usuários. De acordo com as informações fornecidas pela empresa, as cripto moedas nas carteiras dos usuários que executam o projeto foram roubadas e parte dos fundos foi transferida para a plataforma FixedFloat.
O incidente surgiu quando, a 2 de julho de 2025, um utilizador vítima recorreu à equipa da SlowMist. Segundo a declaração do utilizador, após começar a usar o projeto "zldp2002/solana-pumpfun-bot" no GitHub um dia antes, as criptomoedas na sua carteira foram roubadas.
Na análise realizada pela SlowMist após o incidente, foi determinado que o projeto é baseado em Node.js e depende de um pacote de terceiros suspeito chamado "crypto-layout-utils". Este pacote não está listado nos registros oficiais do NPM e foi removido da plataforma. As investigações revelaram que programadores mal-intencionados alteraram o link no arquivo package-lock.json para direcionar os usuários a baixar um software malicioso.
Os especialistas da SlowMist explicaram que o pacote "crypto-layout-utils-1.3.1" baixado contém códigos complexos e ocultos, e que após a análise, esses códigos escaneiam os arquivos que contêm carteiras e chaves privadas no computador do usuário, enviando esses dados para um servidor pertencente ao atacante denominado "githubshadow.xyz".
Além disso, nas análises, foi relatado que o utilizador do GitHub, que se diz ser o desenvolvedor do projeto em questão, controlou um grande número de contas falsas e tinha como objetivo alcançar mais utilizadores ao forkar o projeto através dessas contas. Em alguns forks, foi utilizado um pacote NPM malicioso diferente chamado “bs58-encrypt-utils-1.0.3”.
Após o incidente, a SlowMist, através da sua ferramenta de análise em cadeia chamada MistTrack, detectou que os atacantes transferiram parte das criptomoedas roubadas para a plataforma FixedFloat. Acredita-se que o ataque de malware esteja ativo desde 12 de junho de 2025.
SlowMist afirmou que os usuários devem ser extremamente cautelosos em relação ao software baixado de plataformas de código aberto como o GitHub, especialmente em projetos que envolvem chaves privadas ou transações de carteira. Em casos obrigatórios, foi sugerido que esses tipos de projetos sejam executados em uma máquina isolada que não contenha dados sensíveis.
Ver original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Atenção: Novo Vírus Detectado que Esvazia Carteiras de Criptomoeda! Aqui está o Programa Criminoso e o que Deve Ser Feito
A empresa de cibersegurança SlowMist revelou que o projeto de código aberto chamado "solana-pumpfun-bot", publicado no GitHub e que chamou a atenção da comunidade, contém um plano de fraude que visa as carteiras dos usuários. De acordo com as informações fornecidas pela empresa, as cripto moedas nas carteiras dos usuários que executam o projeto foram roubadas e parte dos fundos foi transferida para a plataforma FixedFloat.
O incidente surgiu quando, a 2 de julho de 2025, um utilizador vítima recorreu à equipa da SlowMist. Segundo a declaração do utilizador, após começar a usar o projeto "zldp2002/solana-pumpfun-bot" no GitHub um dia antes, as criptomoedas na sua carteira foram roubadas.
Na análise realizada pela SlowMist após o incidente, foi determinado que o projeto é baseado em Node.js e depende de um pacote de terceiros suspeito chamado "crypto-layout-utils". Este pacote não está listado nos registros oficiais do NPM e foi removido da plataforma. As investigações revelaram que programadores mal-intencionados alteraram o link no arquivo package-lock.json para direcionar os usuários a baixar um software malicioso.
Os especialistas da SlowMist explicaram que o pacote "crypto-layout-utils-1.3.1" baixado contém códigos complexos e ocultos, e que após a análise, esses códigos escaneiam os arquivos que contêm carteiras e chaves privadas no computador do usuário, enviando esses dados para um servidor pertencente ao atacante denominado "githubshadow.xyz".
Além disso, nas análises, foi relatado que o utilizador do GitHub, que se diz ser o desenvolvedor do projeto em questão, controlou um grande número de contas falsas e tinha como objetivo alcançar mais utilizadores ao forkar o projeto através dessas contas. Em alguns forks, foi utilizado um pacote NPM malicioso diferente chamado “bs58-encrypt-utils-1.0.3”.
Após o incidente, a SlowMist, através da sua ferramenta de análise em cadeia chamada MistTrack, detectou que os atacantes transferiram parte das criptomoedas roubadas para a plataforma FixedFloat. Acredita-se que o ataque de malware esteja ativo desde 12 de junho de 2025.
SlowMist afirmou que os usuários devem ser extremamente cautelosos em relação ao software baixado de plataformas de código aberto como o GitHub, especialmente em projetos que envolvem chaves privadas ou transações de carteira. Em casos obrigatórios, foi sugerido que esses tipos de projetos sejam executados em uma máquina isolada que não contenha dados sensíveis.