安全研究人员近日发现一个伪装成Solana交易机器人的恶意GitHub存储库,该存储库实际上包含窃取加密货币的恶意代码。
区块链安全公司SlowMist在7月12日发布的调查报告中披露,由账户”zldp2002″创建的solana-pumpfun-bot存储库模仿了真实开源工具,专门用于窃取用户凭证。此次调查源于一位用户报告其加密货币在7月11日被盗的事件。
SlowMist指出,这个恶意GitHub项目”获得了异常高的星标和分叉数量”。值得注意的是,所有代码提交都集中在最近三周内完成,提交模式极不规律,这明显不符合正常开源项目的开发特征。
这个基于Node.js的项目使用了名为crypto-layout-utils的第三方依赖包。SlowMist安全团队表示:”深入调查发现,这个可疑的包已经从NPM官方注册表中移除。”
已被删除的恶意GitHub存储库截图(来源:SlowMist安全团队)
恶意NPM包分析
调查人员发现这个可疑NPM包无法从官方渠道下载后,追踪到攻击者是通过另一个GitHub存储库分发该包的。经过技术分析,SlowMist确认该包使用了jsjiami.com.v7进行深度代码混淆。
安全专家成功解混淆后,发现该恶意软件会扫描用户本地文件,一旦检测到钱包信息或私钥,就会将这些敏感数据上传到攻击者控制的远程服务器。
大规模GitHub账户操控
SlowMist的深入调查揭示了更严重的威胁:攻击者可能控制了大量GitHub账户网络。这些账户被用来创建多个项目分叉,通过人为刷高星标和分叉数量来增加可信度,同时传播恶意代码。
研究人员在多个分叉存储库中发现了相似特征,其中部分版本还包含另一个恶意包bs58-encrypt-utils-1.0.3。该包最早出现于6月12日,表明攻击者的恶意活动至少已持续一个月。
这是近期针对加密货币用户的一系列软件供应链攻击的最新案例。类似攻击手法包括通过伪造钱包扩展程序攻击Firefox用户,以及利用GitHub存储库传播窃取凭证的恶意代码。
声明:文章不代表CHAINTT观点及立场,不构成本平台任何投资建议。投资决策需建立在独立思考之上,本文内容仅供参考,风险 自担!转载请注明出处:https://www.chaintt.cn/20959.html
