¡Atención: Se ha detectado un nuevo virus que vacía las Billeteras de Criptomonedas! Aquí está el programa culpable y lo que se debe hacer.

La firma de ciberseguridad SlowMist ha revelado que el proyecto de código abierto “solana-pumpfun-bot” publicado en GitHub y que ha llamado la atención en la comunidad contiene un plan de fraude dirigido a las billeteras de los usuarios. Según la información proporcionada por la empresa, las criptomonedas en las billeteras de los usuarios que ejecutan el proyecto fueron robadas y una parte de los fondos fue transferida a la plataforma llamada FixedFloat.

El incidente salió a la luz cuando, el 2 de julio de 2025, un usuario afectado se puso en contacto con el equipo de SlowMist. Según la declaración del usuario, sus criptomonedas fueron robadas después de que comenzara a usar el proyecto “zldp2002/solana-pumpfun-bot” en GitHub un día antes.

En el análisis realizado por SlowMist después del incidente, se determinó que el proyecto estaba basado en Node.js y dependía de un paquete de terceros sospechoso llamado “crypto-layout-utils”. Este paquete no figura en los registros oficiales de NPM y ha sido retirado de la plataforma. En las revisiones realizadas, se descubrió que los desarrolladores malintencionados habían cambiado el enlace en el archivo package-lock.json para redirigir a los usuarios a cargar un software malicioso.

Los expertos de SlowMist explicaron que el paquete “crypto-layout-utils-1.3.1” descargado contiene códigos complejos y ocultos, que tras el análisis, escanean los archivos que contienen carteras y claves privadas en la computadora del usuario y envían estos datos a un servidor perteneciente al atacante llamado “githubshadow.xyz”.

Además, en los análisis se informó que el usuario de GitHub, que se dice que es el desarrollador del proyecto en cuestión, controló un gran número de cuentas falsas y que a través de estas cuentas buscó bifurcar el proyecto para alcanzar a más usuarios, (zldp2002). En algunas bifurcaciones se utilizó un paquete NPM dañino diferente llamado “bs58-encrypt-utils-1.0.3”.

Tras el incidente, SlowMist detectó a través de su herramienta de análisis en cadena llamada MistTrack que los atacantes transfirieron parte de las criptomonedas robadas a la plataforma FixedFloat. Se cree que el ataque de malware ha estado activo desde el 12 de junio de 2025.

SlowMist, especialmente en proyectos que involucran claves privadas o transacciones de billetera, dijo que los usuarios deben tener mucho cuidado con el software descargado de plataformas de código abierto como GitHub. En situaciones obligatorias, se recomendó que tales proyectos se ejecuten en una máquina aislada que no contenga datos sensibles.