Кібербезпекова компанія SlowMist виявила, що проект з відкритим кодом "solana-pumpfun-bot", опублікований на GitHub, містить шахрайський план, націлений на користувацькі гаманці. За інформацією компанії, криптовалюти з гаманців користувачів, які запускали проект, були вкрадені, а частина фондів була переведена на платформу FixedFloat.
Інцидент виник 2 липня 2025 року, коли постраждалий користувач звернувся до команди SlowMist. За словами користувача, його криптовалюти були вкрадені після того, як він почав використовувати проект "zldp2002/solana-pumpfun-bot" на GitHub за день до цього.
У аналізі, проведеному SlowMist після інциденту, було виявлено, що проєкт базується на Node.js та залежить від підозрілого стороннього пакета під назвою "crypto-layout-utils". Цей пакет не міститься в офіційних реєстрах NPM і був видалений з платформи. Під час розслідування було встановлено, що зловмисні програмісти змінили посилання у файлі package-lock.json, щоб направити користувачів на завантаження шкідливого програмного забезпечення.
Експерти SlowMist заявили, що завантажений пакет "crypto-layout-utils-1.3.1" містить складний і прихований код, який після аналізу сканує файли на комп'ютері користувача, що містять гаманці та приватні ключі, та надсилає ці дані на сервер, що належить зловмиснику з назвою "githubshadow.xyz".
Крім того, в аналізах повідомляється, що користувач GitHub, який, як стверджується, є розробником відповідного проєкту, контролює (zldp2002) безліч фальшивих облікових записів і має на меті досягти більшої кількості користувачів, форкаючи проєкт через ці облікові записи. У деяких форках використовувався інший шкідливий NPM пакет "bs58-encrypt-utils-1.0.3".
Після події SlowMist виявив, що злочинці частину викрадених криптовалют перевели на платформу FixedFloat за допомогою інструмента аналізу блокчейну MistTrack. Вважається, що шкідливе програмне забезпечення активно працює з 12 червня 2025 року.
SlowMist, особливо в проектах, що містять приватні ключі або транзакції гаманців, зазначила, що користувачі повинні бути надзвичайно обережними з програмним забезпеченням, завантаженим з відкритих платформ, таких як GitHub. У випадках крайньої необхідності рекомендувалося запускати такі проекти на ізольованій машині, яка не містить чутливих даних.
Переглянути оригінал
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Увага: Виявлено новий вірус, що очищає Гаманці Криптовалюти! Ось винний програмний продукт та що потрібно зробити
Кібербезпекова компанія SlowMist виявила, що проект з відкритим кодом "solana-pumpfun-bot", опублікований на GitHub, містить шахрайський план, націлений на користувацькі гаманці. За інформацією компанії, криптовалюти з гаманців користувачів, які запускали проект, були вкрадені, а частина фондів була переведена на платформу FixedFloat.
Інцидент виник 2 липня 2025 року, коли постраждалий користувач звернувся до команди SlowMist. За словами користувача, його криптовалюти були вкрадені після того, як він почав використовувати проект "zldp2002/solana-pumpfun-bot" на GitHub за день до цього.
У аналізі, проведеному SlowMist після інциденту, було виявлено, що проєкт базується на Node.js та залежить від підозрілого стороннього пакета під назвою "crypto-layout-utils". Цей пакет не міститься в офіційних реєстрах NPM і був видалений з платформи. Під час розслідування було встановлено, що зловмисні програмісти змінили посилання у файлі package-lock.json, щоб направити користувачів на завантаження шкідливого програмного забезпечення.
Експерти SlowMist заявили, що завантажений пакет "crypto-layout-utils-1.3.1" містить складний і прихований код, який після аналізу сканує файли на комп'ютері користувача, що містять гаманці та приватні ключі, та надсилає ці дані на сервер, що належить зловмиснику з назвою "githubshadow.xyz".
Крім того, в аналізах повідомляється, що користувач GitHub, який, як стверджується, є розробником відповідного проєкту, контролює (zldp2002) безліч фальшивих облікових записів і має на меті досягти більшої кількості користувачів, форкаючи проєкт через ці облікові записи. У деяких форках використовувався інший шкідливий NPM пакет "bs58-encrypt-utils-1.0.3".
Після події SlowMist виявив, що злочинці частину викрадених криптовалют перевели на платформу FixedFloat за допомогою інструмента аналізу блокчейну MistTrack. Вважається, що шкідливе програмне забезпечення активно працює з 12 червня 2025 року.
SlowMist, особливо в проектах, що містять приватні ключі або транзакції гаманців, зазначила, що користувачі повинні бути надзвичайно обережними з програмним забезпеченням, завантаженим з відкритих платформ, таких як GitHub. У випадках крайньої необхідності рекомендувалося запускати такі проекти на ізольованій машині, яка не містить чутливих даних.