Công ty an ninh mạng SlowMist đã phát hiện ra rằng dự án mã nguồn mở có tên “solana-pumpfun-bot” được công bố trên GitHub và thu hút sự chú ý trong cộng đồng có chứa một kế hoạch lừa đảo nhắm vào ví người dùng. Theo thông tin mà công ty cung cấp, các kripto paralar trong ví của những người chạy dự án đã bị đánh cắp và một phần quỹ đã được chuyển đến nền tảng FixedFloat.
Sự việc xảy ra vào ngày 2 tháng 7 năm 2025 khi một người dùng bị hại đã liên hệ với đội ngũ SlowMist. Theo lời người dùng, sau khi bắt đầu sử dụng dự án "zldp2002/solana-pumpfun-bot" trên GitHub một ngày trước đó, các đồng tiền điện tử trong ví của họ đã bị đánh cắp.
Phân tích mà SlowMist thực hiện sau sự cố cho thấy, dự án dựa trên Node.js và hoạt động phụ thuộc vào một gói bên thứ ba nghi vấn có tên là "crypto-layout-utils". Gói này không có trong hồ sơ chính thức của NPM và đã bị gỡ bỏ khỏi nền tảng. Qua các cuộc kiểm tra, đã xác định rằng các lập trình viên độc hại đã thay đổi liên kết trong tệp package-lock.json để định hướng người dùng tải xuống phần mềm độc hại.
Các chuyên gia SlowMist cho biết gói "crypto-layout-utils-1.3.1" đã tải xuống chứa mã phức tạp và bị ẩn giấu, sau khi phân tích, các mã này quét các tệp chứa ví và khóa riêng trên máy tính của người dùng và gửi dữ liệu này đến một máy chủ thuộc về kẻ tấn công có tên "githubshadow.xyz".
Ngoài ra, trong các phân tích, đã có thông tin cho rằng người dùng GitHub được cho là nhà phát triển của dự án này đã kiểm soát một số lượng lớn tài khoản giả mạo và mục tiêu của họ là tiếp cận nhiều người dùng hơn bằng cách fork dự án thông qua các tài khoản này với mã số (zldp2002). Trong một số fork, một gói NPM độc hại khác có tên "bs58-encrypt-utils-1.0.3" đã được sử dụng.
Sau sự kiện, SlowMist đã phát hiện thông qua công cụ phân tích trên chuỗi có tên MistTrack rằng những kẻ tấn công đã chuyển một phần tài sản tiền điện tử bị đánh cắp sang nền tảng FixedFloat. Cuộc tấn công phần mềm độc hại được cho là đã hoạt động kể từ ngày 12 tháng 6 năm 2025.
SlowMist cho biết rằng người dùng cần phải rất cẩn thận với phần mềm tải xuống từ các nền tảng mã nguồn mở như GitHub, đặc biệt là trong các dự án có liên quan đến khóa riêng hoặc giao dịch ví. Trong trường hợp bắt buộc, các dự án như vậy nên được chạy trên một máy tính cách ly không chứa dữ liệu nhạy cảm.
Xem bản gốc
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Chú ý: Virus mới phát hiện đang làm rỗng Ví tiền Tiền điện tử! Dưới đây là chương trình tội phạm và những gì cần làm
Công ty an ninh mạng SlowMist đã phát hiện ra rằng dự án mã nguồn mở có tên “solana-pumpfun-bot” được công bố trên GitHub và thu hút sự chú ý trong cộng đồng có chứa một kế hoạch lừa đảo nhắm vào ví người dùng. Theo thông tin mà công ty cung cấp, các kripto paralar trong ví của những người chạy dự án đã bị đánh cắp và một phần quỹ đã được chuyển đến nền tảng FixedFloat.
Sự việc xảy ra vào ngày 2 tháng 7 năm 2025 khi một người dùng bị hại đã liên hệ với đội ngũ SlowMist. Theo lời người dùng, sau khi bắt đầu sử dụng dự án "zldp2002/solana-pumpfun-bot" trên GitHub một ngày trước đó, các đồng tiền điện tử trong ví của họ đã bị đánh cắp.
Phân tích mà SlowMist thực hiện sau sự cố cho thấy, dự án dựa trên Node.js và hoạt động phụ thuộc vào một gói bên thứ ba nghi vấn có tên là "crypto-layout-utils". Gói này không có trong hồ sơ chính thức của NPM và đã bị gỡ bỏ khỏi nền tảng. Qua các cuộc kiểm tra, đã xác định rằng các lập trình viên độc hại đã thay đổi liên kết trong tệp package-lock.json để định hướng người dùng tải xuống phần mềm độc hại.
Các chuyên gia SlowMist cho biết gói "crypto-layout-utils-1.3.1" đã tải xuống chứa mã phức tạp và bị ẩn giấu, sau khi phân tích, các mã này quét các tệp chứa ví và khóa riêng trên máy tính của người dùng và gửi dữ liệu này đến một máy chủ thuộc về kẻ tấn công có tên "githubshadow.xyz".
Ngoài ra, trong các phân tích, đã có thông tin cho rằng người dùng GitHub được cho là nhà phát triển của dự án này đã kiểm soát một số lượng lớn tài khoản giả mạo và mục tiêu của họ là tiếp cận nhiều người dùng hơn bằng cách fork dự án thông qua các tài khoản này với mã số (zldp2002). Trong một số fork, một gói NPM độc hại khác có tên "bs58-encrypt-utils-1.0.3" đã được sử dụng.
Sau sự kiện, SlowMist đã phát hiện thông qua công cụ phân tích trên chuỗi có tên MistTrack rằng những kẻ tấn công đã chuyển một phần tài sản tiền điện tử bị đánh cắp sang nền tảng FixedFloat. Cuộc tấn công phần mềm độc hại được cho là đã hoạt động kể từ ngày 12 tháng 6 năm 2025.
SlowMist cho biết rằng người dùng cần phải rất cẩn thận với phần mềm tải xuống từ các nền tảng mã nguồn mở như GitHub, đặc biệt là trong các dự án có liên quan đến khóa riêng hoặc giao dịch ví. Trong trường hợp bắt buộc, các dự án như vậy nên được chạy trên một máy tính cách ly không chứa dữ liệu nhạy cảm.