SlowMist descobre código malicioso em 'Solana-pumpfun -bot' do Github
A SlowMist trouxe à luz que o projeto de código aberto amplamente usado "Solana-pumpfun-Bot" na plataforma GitHub possui código que rouba criptografia das carteiras de seus usuários.
A investigação começou em 2 de julho de 2025. Uma vítima entrou em contato com a equipe de segurança da SlowMist para procurar assistência na análise dos motivos do roubo de seus ativos de carteira.
O dent foi causado pelo uso de um projeto de código aberto hospedado no Github no dia anterior, onde os ativos criptografados foram roubados. A SlowMist afirma que os fundos roubados estão sendo transferidos para a troca FILLFLOAT.
O autor do projeto é o principal suspeito
Para fazer o ataque, o hacker fingiu ser um projeto oficial de código aberto (solana-pumpfun-Bot) para que as pessoas baixassem e executem código malicioso. Verificou-se que um pacote suspeito de Dependent chamado “Crypto-Layout-Utils” foi removido da fonte oficial do NPM durante todo o inquérito.
O hacker enviou posteriormente uma versão maliciosa do software no lugar do URL de download original. Ele enviou dados confidenciais a um servidor controlado por atacante depois de pesquisar no PC da vítima por arquivos relacionados à carteira.
A investigação também constatou que o autor do projeto é suspeito de controlar várias contas do GitHub. Eles estavam acostumados a bifurcar projetos maliciosos, distribuir programas maliciosos e inflar artificialmente a popularidade do projeto. Múltiplos projetos de garfo com comportamento malicioso semelhante foramdent, alguns dos quais usaram outro pacote malicioso, "BS58-Encrypt-Utils".
Toda a cadeia de ataque envolve várias contas do GitHub trabalhando juntas. Isso expandiu o escopo da disseminação, maior credibilidade e é extremamente enganoso. Ao mesmo tempo, esse ataque usou meios de engenharia social e técnico, e é difícil defendê -lo totalmente dentro de uma organização.
Acredita-se que a atividade maliciosa tenha começado em 12 de junho de 2025. Foi quando o atacante criou o pacote malicioso "BS58-Encrypt-Utils".
O hacking criptográfico não avançou muito; Eles se tornaram mais astutos
Segundo SlowMist, as técnicas de hackers de criptografia não avançaram muito, mas se tornaram muito mais astúcidas. O chefe de operações da SlowMist, Lisa, disse no relatório de análise de fundos de Mist Trac K roubado da empresa que não tem um avanço nas técnicas de hackers, os golpes se tornaram mais sofisticados .
Há um aumento nas extensões falsas do navegador, carteiras de hardware adulteradas e ataques de engenharia social. "Estamos vendo uma mudança clara de ataques puramente na cadeia para pontos de entrada fora da cadeia-extensões de navegador, contas de mídia social, fluxos de autenticação e comportamento do usuário estão se tornando superfícies de ataques comuns", disse Lisa.
Por exemplo, os invasores orientam os usuários a visitar sites conhecidos e comumente usados, como noção ou zoom. Quando o usuário tenta baixar o software desses sites oficiais, os arquivos entregues já foram substituídos maliciosamente.
Outra maneira é quando os hackers enviam aos usuários uma carteira fria comprometida. Eles dizem às vítimas que ganharam um dispositivo gratuito sob um "empate na loteria" ou dizem que seu dispositivo existente estava comprometido e precisavam transferir seus ativos. Melhor ainda, os hackers introduziram sites falsos.
O acerto final é geralmente manipulação. "Os atacantes conhecem frases como 'assinatura arriscada detectada' podem desencadear pânico, levando os usuários a tomar ações apressadas. Depois que esse estado emocional é acionado, é muito mais fácil manipulá -los para fazer coisas que normalmente não o faria - como clicar em links ou compartilhar informações confidenciais", disse Lisa.
Outros ataques usaram métodos de hackers que aproveitaram o EIP-7702 , que foram adicionados na versão mais recente do Ethereum Pectra. Outro ataque assumiu as contas de vários usuários do WeChat e os direcionou. Segundo SlowMist, Ethereum liderou todos os ecossistemas em perdas de segurança no primeiro semestre de 2025, com plataformas DeFi
Academia Cryptopolitan: Quer aumentar seu dinheiro em 2025? Aprenda a fazê -lo com DeFi em nossa próxima webclass. Salve seu lugar
Artigos Recomendados
