Solana加密货币机器人漏洞曝光:GitHub项目窃取用户资产安全警示

芝麻开门

芝麻开门(Gateio)

注册芝麻开门享最高$2,800好礼。

币安

币安(Binance)

币安是世界领先的数字货币交易平台,注册领100U。

区块链安全公司SlowMist曝光一个伪装成Solana交易机器人的恶意GitHub存储库(solana-pumpfun-bot),该仓库通过伪造高星标和分叉数量诱骗用户,内含恶意NPM包crypto-layout-utils窃取钱包凭证。调查发现攻击者控制多个GitHub账户批量分发恶意软件变种,其中bs58-encrypt-utils-1.0.3包自6月12日起活跃。这是近期针对加密用户的软件供应链攻击新案例。

安全研究人员近日发现一个伪装成Solana交易机器人的恶意GitHub存储库,该存储库实际上包含窃取加密货币的恶意代码。

区块链安全公司SlowMist在7月12日发布的调查报告中披露,由账户”zldp2002″创建的solana-pumpfun-bot存储库模仿了真实开源工具,专门用于窃取用户凭证。此次调查源于一位用户报告其加密货币在7月11日被盗的事件。

SlowMist指出,这个恶意GitHub项目”获得了异常高的星标和分叉数量”。值得注意的是,所有代码提交都集中在最近三周内完成,提交模式极不规律,这明显不符合正常开源项目的开发特征。

这个基于Node.js的项目使用了名为crypto-layout-utils的第三方依赖包。SlowMist安全团队表示:”深入调查发现,这个可疑的包已经从NPM官方注册表中移除。”

Solana加密货币机器人漏洞曝光:GitHub项目窃取用户资产安全警示
已被删除的恶意GitHub存储库截图(来源:SlowMist安全团队)

恶意NPM包分析

调查人员发现这个可疑NPM包无法从官方渠道下载后,追踪到攻击者是通过另一个GitHub存储库分发该包的。经过技术分析,SlowMist确认该包使用了jsjiami.com.v7进行深度代码混淆。

安全专家成功解混淆后,发现该恶意软件会扫描用户本地文件,一旦检测到钱包信息或私钥,就会将这些敏感数据上传到攻击者控制的远程服务器。

大规模GitHub账户操控

SlowMist的深入调查揭示了更严重的威胁:攻击者可能控制了大量GitHub账户网络。这些账户被用来创建多个项目分叉,通过人为刷高星标和分叉数量来增加可信度,同时传播恶意代码。

研究人员在多个分叉存储库中发现了相似特征,其中部分版本还包含另一个恶意包bs58-encrypt-utils-1.0.3。该包最早出现于6月12日,表明攻击者的恶意活动至少已持续一个月。

这是近期针对加密货币用户的一系列软件供应链攻击的最新案例。类似攻击手法包括通过伪造钱包扩展程序攻击Firefox用户,以及利用GitHub存储库传播窃取凭证的恶意代码。

声明:文章不代表CHAINTT观点及立场,不构成本平台任何投资建议。投资决策需建立在独立思考之上,本文内容仅供参考,风险 自担!转载请注明出处:https://www.chaintt.cn/20959.html

CHAINTT的头像CHAINTT
上一篇 2025年7月7日
下一篇 2025年7月7日

相关推荐

  • Datai Network 是什么 区块链技术解析与功能介绍

    Datai Network 是一个去中心化的数据与分析平台,整合来自50多条区块链的数据,提供DeFi、NFT、RWA、GameFi等领域的深度洞察。其模块化三层架构(数据源层、数据精炼层、应用层)结合AI/ML技术,将原始数据转化为可操作的智能洞察。平台采用节点网络协作机制,索引器通过代币激励维护数据实时性,已获Ledger、Solana基金会等机构采用。核心代币$DATAI用于服务访问、贡献激励及治理,2025年路线图将推出用户行为API和AI训练数据等产品。

    2025年10月10日
    12400
  • Gate、Robinhood、Bybit入局:美股代币化热潮再现的三大原因解析

    美股代币化并非新概念,早年FTX、币安等平台曾尝试通过区块链技术映射美股,但因合规问题受挫。如今,随着RWA(现实世界资产)概念走热,Gate、Robinhood等新老玩家以更合规的模式重新入局,采用持牌托管、衍生品设计等策略,推动美股代币化与加密市场融合。这一趋势不仅拓展了交易所业务边界,也为债券、房地产等资产上链提供了样板。尽管监管挑战仍在,但美股代币化正成为RWA浪潮中的关键一环,加速全球资产链上化的进程。

    资讯 2025年7月4日
    13600
  • 区块链赋能能源交易:开启去中心化新纪元

    全球能源需求预计到2040年将翻倍,传统电网面临压力。分布式能源(DER)和区块链技术正推动能源系统向去中心化转型。区块链通过智能合约和代币化实现透明、高效的能源交易,提升电网可靠性和可再生能源整合。Fuse、Daylight、Starpower等创新项目利用DePIN技术构建去中心化能源网络,优化能源分配并激励用户参与。可再生能源投资预计2030年占全球能源消耗20%,区块链解决方案为能源民主化和可持续发展提供关键支持。

    2025年9月26日
    13000
  • Mind Network 区块链技术解析与全面指南

    简介 Mind Network 是一个基于全同态加密(FHE)的“HTTPZ”基础设施,旨在为Web3提供量子抗性和端到端加密解决方案。其核心产品包括MindV(FHE投票系统)、FHE Bridge(安全跨链方案)和Mind Lake SDK(隐私计算工具),已获Binance Labs、Animoca Brands等机构两轮共1250万美元融资。项目通过vFHE代币机制重构AI/PoS网络的安全共识,并与Chainlink、Manta Network等40亿美元生态项目达成合作,近期推出CitizenZ Passport空投凭证活动。

    2025年10月12日
    15800
  • Web3支付行业深度分析:2025年稳定币发展趋势与市场前景

    稳定币作为数字经济时代的新型支付工具,2024年总市值突破2000亿美元,年交易量达27.1万亿美元,成为加密领域最显著的”杀手级应用”。其核心优势在于:1)实现近乎零成本的跨境支付,汇款成本仅为传统渠道的0.08%;2)显著提升企业盈利能力,如沃尔玛采用后估值可增长60%;3)构建去中介化支付生态,Stripe等机构已开始布局稳定币基础设施。随着Visa、PayPal等传统支付巨头入场,稳定币正通过PayFi(支付+DeFi)模式拓展金融场景。尽管面临监管挑战,但a16z等机构预测,未来五年市场规模有望达3万亿美元,最终将重塑全球支付体系。

    2025年8月18日
    13700

联系我们

400-800-8888

在线咨询: QQ交谈

邮件:admin@example.com

工作时间:周一至周五,9:30-18:30,节假日休息

风险提示:防范以"数字货币""区块链"名义进行非法集资的风险