Кибербезопасностная компания SlowMist обнаружила, что опубликованный на GitHub и привлекший внимание сообщества открытый проект "solana-pumpfun-bot" содержит мошеннический план, нацеленный на кошельки пользователей. По информации компании, криптовалюты, находившиеся в кошельках пользователей, запускающих проект, были украдены, и часть средств была переведена на платформу FixedFloat.
Событие произошло 2 июля 2025 года, когда пострадавший пользователь обратился к команде SlowMist. По словам пользователя, его криптовалюты были украдены через день после того, как он начал использовать проект "zldp2002/solana-pumpfun-bot" на GitHub.
В анализе, проведенном SlowMist после инцидента, было установлено, что проект основан на Node.js и зависим от подозрительного стороннего пакета под названием "crypto-layout-utils". Этот пакет отсутствует в официальных реестрах NPM и был удален с платформы. В ходе расследования было установлено, что злоумышленники изменили ссылку в файле package-lock.json, направив пользователей на загрузку вредоносного ПО.
Эксперты SlowMist сообщили, что загруженный пакет "crypto-layout-utils-1.3.1" содержит сложные и скрытые коды, которые после анализа сканируют файлы с кошельками и приватными ключами на компьютере пользователя и отправляют эти данные на сервер, принадлежащий злоумышленнику с именем "githubshadow.xyz".
Также в анализах сообщается, что предполагаемый разработчик рассматриваемого проекта, пользователь GitHub, контролировал (zldp2002) множество фальшивых аккаунтов и стремился достичь большего числа пользователей, форкая проект через эти аккаунты. В некоторых форках использовался другой вредоносный пакет NPM под названием "bs58-encrypt-utils-1.0.3".
После инцидента SlowMist в ходе отслеживания с помощью инструмента анализа блокчейна под названием MistTrack обнаружила, что злоумышленники перевели часть украденных криптовалют на платформу FixedFloat. Считается, что вредоносная атака активна с 12 июня 2025 года.
SlowMist заявил, что пользователи должны быть крайне осторожны с программным обеспечением, загружаемым с открытых платформ, таких как GitHub, особенно в проектах, связанных с частными ключами или транзакциями кошелька. В обязательных случаях рекомендуется запускать такие проекты на изолированной машине, не содержащей конфиденциальных данных.
Посмотреть Оригинал
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Внимание: Обнаружен новый вирус, опустошающий Кошельки Криптовалюты! Вот виновная программа и что нужно делать.
Кибербезопасностная компания SlowMist обнаружила, что опубликованный на GitHub и привлекший внимание сообщества открытый проект "solana-pumpfun-bot" содержит мошеннический план, нацеленный на кошельки пользователей. По информации компании, криптовалюты, находившиеся в кошельках пользователей, запускающих проект, были украдены, и часть средств была переведена на платформу FixedFloat.
Событие произошло 2 июля 2025 года, когда пострадавший пользователь обратился к команде SlowMist. По словам пользователя, его криптовалюты были украдены через день после того, как он начал использовать проект "zldp2002/solana-pumpfun-bot" на GitHub.
В анализе, проведенном SlowMist после инцидента, было установлено, что проект основан на Node.js и зависим от подозрительного стороннего пакета под названием "crypto-layout-utils". Этот пакет отсутствует в официальных реестрах NPM и был удален с платформы. В ходе расследования было установлено, что злоумышленники изменили ссылку в файле package-lock.json, направив пользователей на загрузку вредоносного ПО.
Эксперты SlowMist сообщили, что загруженный пакет "crypto-layout-utils-1.3.1" содержит сложные и скрытые коды, которые после анализа сканируют файлы с кошельками и приватными ключами на компьютере пользователя и отправляют эти данные на сервер, принадлежащий злоумышленнику с именем "githubshadow.xyz".
Также в анализах сообщается, что предполагаемый разработчик рассматриваемого проекта, пользователь GitHub, контролировал (zldp2002) множество фальшивых аккаунтов и стремился достичь большего числа пользователей, форкая проект через эти аккаунты. В некоторых форках использовался другой вредоносный пакет NPM под названием "bs58-encrypt-utils-1.0.3".
После инцидента SlowMist в ходе отслеживания с помощью инструмента анализа блокчейна под названием MistTrack обнаружила, что злоумышленники перевели часть украденных криптовалют на платформу FixedFloat. Считается, что вредоносная атака активна с 12 июня 2025 года.
SlowMist заявил, что пользователи должны быть крайне осторожны с программным обеспечением, загружаемым с открытых платформ, таких как GitHub, особенно в проектах, связанных с частными ключами или транзакциями кошелька. В обязательных случаях рекомендуется запускать такие проекты на изолированной машине, не содержащей конфиденциальных данных.