SlowMist trova 'Solana-pumpfun-bot' su GitHub che contiene una trappola per il furto di monete

SlowMist ha portato alla luce che il progetto open source ampiamente utilizzato "Solana-pumpfun-bot" sulla piattaforma GitHub contiene codice che ruba criptovalute dai portafogli dei suoi utenti. 

L'indagine è iniziata il 2 luglio 2025. Una vittima ha contattato il team di sicurezza di SlowMist per chiedere assistenza nell'analisi delle ragioni del furto dei beni presenti nel suo portafoglio. 

L'dent è stato causato dall'utilizzo di un progetto open source ospitato su GitHub il giorno prima, da cui sono stati rubati gli asset crittografati. SlowMist afferma che i fondi rubati vengono trasferiti all'exchange FixedFloat.

L'autore del progetto è il principale sospettato

Per portare a termine l'attacco, l'hacker si è spacciato per un progetto open source ufficiale (solana-pumpfun-bot) per indurre gli utenti a scaricare ed eseguire codice dannoso. Durante l'indagine, è stato scoperto che un pacchettodent sospetto denominato "crypto-layout-utils" era stato rimosso dal codice sorgente ufficiale di NPM.

Successivamente, l'hacker ha caricato una versione dannosa del software al posto dell'URL di download originale. Ha inviato dati sensibili a un server controllato dall'aggressore dopo aver cercato file relativi al portafoglio nel PC della vittima.

L'indagine ha inoltre scoperto che l'autore del progetto è sospettato di controllare diversi account GitHub. Questi sono stati utilizzati per creare fork di progetti dannosi, distribuire programmi dannosi e aumentare artificialmente la popolarità del progetto. Sono statidentdiversi progetti fork con comportamenti dannosi simili, alcuni dei quali utilizzavano un altro pacchetto dannoso, "bs58-encrypt-utils".

L'intera catena di attacco coinvolge diversi account GitHub che collaborano tra loro. Questo ha ampliato l'ambito di diffusione, aumentato la credibilità ed è estremamente ingannevole. Allo stesso tempo, questo attacco ha utilizzato sia tecniche di ingegneria sociale che tecniche, ed è difficile difendersi completamente all'interno di un'organizzazione.

Si ritiene che l'attività dannosa sia iniziata il 12 giugno 2025. In quella data l'aggressore ha creato il pacchetto dannoso "bs58-encrypt-utils". 

L'hacking delle criptovalute non ha fatto grandi progressi; sono diventati più astuti

Secondo Slowmist, le tecniche di hacking nel settore delle criptovalute non si sono evolute molto, ma sono diventate decisamente più astute. Lisa, responsabile delle operazioni di SlowMist, ha affermato nel rapporto "MistTracStolen Fund Analysis" del secondo trimestre che, sebbene non si siano registrati progressi nelle tecniche di hacking, le truffe sono diventate più sofisticate. 

Si registra un aumento di estensioni del browser contraffatte, portafogli hardware manomessi e attacchi di ingegneria sociale. "Stiamo assistendo a un chiaro passaggio da attacchi puramente on-chain a punti di accesso off-chain: estensioni del browser, account sui social media, flussi di autenticazione e comportamenti degli utenti stanno diventando superfici di attacco comuni", ha affermato Lisa. 

Ad esempio, gli aggressori indirizzano gli utenti a visitare siti web noti e di uso comune come Notion o Zoom. Quando l'utente tenta di scaricare software da questi siti ufficiali, i file forniti sono già stati sostituiti in modo dannoso. 

Un altro modo è quando gli hacker inviano agli utenti un cold wallet compromesso. Dicono alle vittime di aver vinto un dispositivo gratuito tramite un'estrazione della lotteria o che il loro dispositivo è stato compromesso e che devono trasferire i propri beni. Ancora meglio, gli hacker hanno introdotto siti web falsi. 

Il colpo finale è solitamente la manipolazione. "Gli hacker sanno che frasi come 'firma a rischio rilevata' possono scatenare il panico, spingendo gli utenti a compiere azioni affrettate. Una volta innescato questo stato emotivo, è molto più facile manipolarli e indurli a fare cose che normalmente non farebbero, come cliccare su link o condividere informazioni sensibili", ha affermato Lisa.

Altri attacchi hanno utilizzato metodi di hacking che sfruttavano l' EIP-7702, aggiunto nella versione più recente di Ethereum Pectra. Un altro attacco ha preso di mira gli account di diversi utenti WeChat. Secondo SlowMist, Ethereum è stato il primo ecosistema a perdere dati sulla sicurezza nella prima metà del 2025, con DeFi che hanno perso circa 470 milioni di dollari.