SlowMist обнаружил на GitHub бот 'Solana-pumpfun-bot', содержащий ловушку для кражи монет

SlowMist обнаружил, что широко используемый проект с открытым исходным кодом «Solana-pumpfun-bot» на платформе GitHub содержит код, который крадет криптовалюту из кошельков пользователей. 

Расследование началось 2 июля 2025 года. Пострадавший обратился в службу безопасности SlowMist за помощью в анализе причин кражи средств из его кошелька. 

Инцидентdent из-за того, что накануне он использовал проект с открытым исходным кодом, размещенный на GitHub, из-за чего были украдены зашифрованные данные. SlowMist заявляет, что украденные средства переводятся на биржу FixedFloat.

Главным подозреваемым является автор проекта

Для осуществления атаки хакер выдавал себя за официальный проект с открытым исходным кодом (solana-pumpfun-bot), чтобы заставить людей загрузить и запустить вредоносный код. В ходе расследования было обнаружено, что подозрительный пакетdent под названием «crypto-layout-utils» был удален из официального исходного кода NPM.

Впоследствии хакер загрузил вредоносную версию программного обеспечения вместо исходной ссылки для скачивания. После поиска файлов, связанных с кошельком, на компьютере жертвы, вредоносная версия программы отправила конфиденциальные данные на контролируемый злоумышленником сервер.

В ходе расследования также было установлено, что автор проекта подозревается в контроле над несколькими учетными записями GitHub. Они использовались для создания форков вредоносных проектов, распространения вредоносных программ и искусственного завышения популярности проекта. Былоdentнесколько форков проектов со схожим вредоносным поведением, некоторые из которых использовали другой вредоносный пакет, «bs58-encrypt-utils».

Вся цепочка атак включает в себя совместную работу нескольких учетных записей GitHub. Это расширило масштабы распространения, повысило доверие и крайне обманчиво. В то же время, эта атака использовала как методы социальной инженерии, так и технические средства, и полностью защититься от нее внутри организации сложно.

Предполагается, что вредоносная деятельность началась 12 июня 2025 года. Именно тогда злоумышленник создал вредоносный пакет «bs58-encrypt-utils». 

Криптовзлом практически не продвинулись; хакеры стали более изощренными

По данным Slowmist, методы взлома криптовалют не сильно продвинулись, но стали гораздо более изощренными. Глава операционного отдела SlowMist, Лиза, заявила в отчете компании за второй квартал «MistTracStolen Fund Analysis», что, хотя они и не наблюдают прогресса в методах взлома, мошеннические схемы стали более изощренными. 

Наблюдается рост числа поддельных расширений для браузеров, взломанных аппаратных кошельков и атак с использованием методов социальной инженерии. «Мы видим явный сдвиг от чисто внутрисетевых атак к точкам входа вне блокчейна — расширения для браузеров, учетные записи в социальных сетях, процессы аутентификации и поведение пользователей становятся распространенными поверхностями для атак», — сказала Лиза. 

Например, злоумышленники направляют пользователей на известные и широко используемые веб-сайты, такие как Notion или Zoom. Когда пользователь пытается загрузить программное обеспечение с этих официальных сайтов, загруженные файлы уже были вредоносно заменены. 

Ещё один способ — когда хакеры рассылают пользователям взломанные холодные кошельки. Они говорят своим жертвам, что те выиграли бесплатное устройство в «лотерее», или что их существующее устройство было взломано, и им нужно перевести свои активы. Более того, хакеры создают поддельные веб-сайты. 

Финальный удар обычно заключается в манипуляции. «Злоумышленники знают, что такие фразы, как „обнаружена опасная подпись“, могут вызвать панику, побуждая пользователей к поспешным действиям. Как только это эмоциональное состояние активировано, гораздо легче манипулировать ими, заставляя делать то, чего они обычно не стали бы делать — например, переходить по ссылкам или делиться конфиденциальной информацией», — сказала Лиза.

Другие атаки использовали методы взлома, основанные на уязвимости EIP-7702, добавленной в последней версии EthereumEthereumEthereum EthereumEthereumEthereumEthereum EthereumEthereumDeFiDeFi DeFiDeFiDeFiDeFi DeFiDeFi потеряли около 470 миллионов долларов.