Slowmist在Github的“Solana-Pumpfun -Bot”中发现了恶意代码

Slowmist揭示了GitHub平台上广泛使用的开源项目“Solana-PumpFun-Bot”的代码，该代码可从用户的钱包中窃取加密货币。 

调查始于2025年7月2日。受害人联系了慢速安全团队，寻求帮助分析盗窃其钱包资产的原因。 

Inci dent是由于他使用前一天在Github上举办的一个开源项目引起的，该项目被盗了。 Slowmist指出，被盗的资金正在转移到固定利率交易所。

项目作者是主要嫌疑人

为了进行攻击，黑客假装是一个官方的开源项目（solana-Pumpfun-Bot），以使人们下载并运行恶意代码。在整个询问过程中，发现一个可疑的dent 包，名为“加密透特-乌蒂尔”的官方NPM来源。

黑客随后上传了该软件的恶意版本，代替了原始下载URL。在搜索受害者的PC以获取与钱包相关的文件后，它将敏感数据发送给了攻击者控制的服务器。

调查还发现，该项目作者涉嫌控制多个GitHub帐户。他们习惯于分叉恶意项目，分发恶意计划，并人为地膨胀该项目的受欢迎程度。我dent有多个具有类似恶意行为的叉子项目，其中一些使用了另一个恶意软件包“ BS58-Encrypt-Utils”。

整个攻击链涉及几个GitHub帐户一起工作。这扩大了传播的范围，增强的信誉，并且具有极具欺骗性。同时，这次攻击同时采用了社会工程和技术手段，并且在组织内部很难完全防御它。

据信，恶意活动始于2025年6月12日。这是攻击者创建恶意软件包“ BS58-Encrypt-Utils”的时候。 

加密黑客进展并不多；他们变得更加狡猾

根据Slowmist的说法，加密黑客入侵技术并没有太大进步，但是它们变得更加狡猾。 Slowmist的运营主管Lisa在该公司的第二季度雾Trac说，尽管没有看到黑客技巧的进步，但这些骗局变得更加复杂。

假浏览器扩展，篡改的硬件钱包和社会工程攻击有所增加。丽莎说： “我们看到，从纯粹的链攻击到离链入口点的明显转变 - 浏览器扩展，社交媒体帐户，身份验证流和用户行为都变成了常见的攻击表面。”

例如，攻击者指导用户访问知名的，常用的网站，例如概念或缩放。当用户尝试从这些官方站点下载软件时，已传递的文件已被恶意替换。 

另一种方法是黑客向用户发送一个受损的冷钱包。他们告诉受害者，他们在“抽奖”下赢得了免费设备，或者告诉他们他们现有的设备受到损害，需要转移资产。更好的是，黑客介绍了假网站。 

最后的命中通常是操纵。 “攻击者知道诸如'有风险的签名'检测到的'会引发恐慌，促使用户采取仓促行动的短语。一旦触发了情绪状态，就可以更容易地操纵他们做他们通常不会的事情，例如单击链接或共享敏感信息，”丽莎说。

EIP-7702优势的黑客方法，该方法是在最新版本的EthereumPectra中添加的。另一项攻击接管了几个微信用户的帐户，并将其针对。根据Slowmist的说法，Ethereum在2025年上半年领导了所有生态系统的安全损失， DeFi平台损失了约4.7亿美元。

钥匙差线：秘密工具加密项目用于获得保证媒体覆盖