SlowMist a révélé que le projet open-source largement utilisé «Solana-pumpfun-bot » sur la plateforme GitHub contient un code qui vole des cryptomonnaies dans les portefeuilles de ses utilisateurs.
L'enquête a débuté le 2 juillet 2025. Une victime a contacté l'équipe de sécurité de SlowMist pour obtenir de l'aide afin d'analyser les raisons du vol des fonds de son portefeuille.
L'incident dent été causé par son utilisation, la veille, d'un projet open source hébergé sur GitHub, au cours duquel les actifs cryptés ont été dérobés. SlowMist indique que les fonds volés sont en cours de transfert vers la plateforme d'échange FixedFloat.
Pour mener à bien l'attaque, le pirate s'est fait passer pour un projet open source officiel (solana-pumpfun-bot) afin d'inciter les utilisateurs à télécharger et exécuter un code malveillant. Un paquetdent suspect, nommé « crypto-layout-utils », a été retiré du dépôt NPM officiel au cours de l'enquête.
Le pirate a ensuite mis en ligne une version malveillante du logiciel à la place de l'URL de téléchargement originale. Après avoir recherché des fichiers liés au portefeuille électronique sur l'ordinateur de la victime, le logiciel a envoyé des données sensibles à un serveur contrôlé par l'attaquant.
L'enquête a également révélé que l'auteur du projet est soupçonné de contrôler plusieurs comptes GitHub. Ces comptes ont été utilisés pour créer des forks de projets malveillants, diffuser des programmes malveillants et gonfler artificiellement la popularité du projet. Plusieurs projets dérivés présentant des comportements malveillants similaires ont étédent; certains utilisaient un autre package malveillant, « bs58-encrypt-utils ».
L'attaque repose entièrement sur la collaboration de plusieurs comptes GitHub. Cette synergie a permis d'amplifier sa diffusion, de renforcer sa crédibilité et de la rendre extrêmement trompeuse. Par ailleurs, cette attaque utilise à la fois l'ingénierie sociale et des techniques spécifiques, ce qui la rend difficile à contrer totalement au sein d'une organisation.
L’activité malveillante aurait débuté le 12 juin 2025, date à laquelle l’attaquant a créé le paquet malveillant « bs58-encrypt-utils ».
Le piratage de cryptomonnaies n'a pas beaucoup évolué ; les pirates sont simplement devenus plus rusés
Selon Slowmist, les techniques de piratage de cryptomonnaies n'ont pas beaucoup évolué, mais elles sont devenues bien plus ingénieuses. Lisa, directrice des opérations de Slowmist, a déclaré dans le rapport d'analyse des fonds volés Mist Trac que, même si aucune avancée n'a été constatée dans les techniques de piratage, les escroqueries sont devenues plus sophistiquées .
On observe une recrudescence des extensions de navigateur contrefaites, des portefeuilles matériels falsifiés et des attaques d'ingénierie sociale. « On constate un net passage des attaques purement on-chain aux points d'entrée off-chain : les extensions de navigateur, les comptes de réseaux sociaux, les flux d'authentification et le comportement des utilisateurs deviennent autant de surfaces d'attaque courantes », a déclaré Lisa.
Par exemple, les attaquants incitent les utilisateurs à visiter des sites web populaires et largement utilisés comme Notion ou Zoom. Lorsque l'utilisateur tente de télécharger un logiciel depuis ces sites officiels, les fichiers téléchargés ont déjà été modifiés de manière malveillante.
Une autre méthode consiste pour les pirates à envoyer aux utilisateurs un portefeuille électronique compromis. Ils leur font croire qu'ils ont gagné un appareil gratuit à la « loterie » ou que leur appareil a été piraté et qu'ils doivent transférer leurs données. Pire encore, certains pirates créent de faux sites web.
Le coup de grâce est généralement la manipulation. « Les attaquants savent que des phrases comme "signature à risque détectée" peuvent déclencher la panique et inciter les utilisateurs à agir précipitamment. Une fois cet état émotionnel atteint, il est beaucoup plus facile de les manipuler pour qu'ils fassent des choses qu'ils ne feraient pas en temps normal, comme cliquer sur des liens ou partager des informations sensibles », explique Lisa.
D'autres attaques ont exploité des méthodes de piratage tirant parti de la faille EIP-7702 , ajoutée dans la dernière version d' Ethereum Pectra. Une autre attaque a permis de prendre le contrôle des comptes de plusieurs utilisateurs de WeChat et de les cibler. Selon SlowMist, Ethereum a enregistré les pertes de sécurité les plus importantes parmi tous les écosystèmes au premier semestre 2025, DeFi ayant perdu environ 470 millions de dollars.
