La société de cybersécurité SlowMist a révélé que le projet open source « solana-pumpfun-bot » publié sur GitHub et qui a attiré l’attention de la communauté contenait un plan d’escroquerie ciblant les portefeuilles des utilisateurs. Selon les informations fournies par la société, les cryptomonnaies des utilisateurs exécutant le projet ont été volées et une partie des fonds a été transférée sur la plateforme FixedFloat.
L’incident est survenu lorsque, le 2 juillet 2025, un utilisateur victime a contacté l’équipe de SlowMist. Selon les déclarations de l’utilisateur, ses cryptomonnaies ont été volées après qu’il a commencé à utiliser le projet “zldp2002/solana-pumpfun-bot” sur GitHub un jour plus tôt.
L’analyse menée par SlowMist après l’incident a révélé que le projet était basé sur Node.js et qu’il fonctionnait avec une dépendance à un paquet tiers suspect nommé “crypto-layout-utils”. Ce paquet n’est pas présent dans les registres officiels de NPM et a été retiré de la plateforme. Les examens ont révélé que des développeurs malveillants avaient modifié le lien dans le fichier package-lock.json pour inciter les utilisateurs à télécharger un logiciel malveillant.
Les experts de SlowMist ont expliqué que le paquet “crypto-layout-utils-1.3.1” téléchargé contenait des codes complexes et cachés, et qu’après analyse, ces codes avaient scanné les fichiers contenant des portefeuilles et des clés privées sur l’ordinateur de l’utilisateur, et avaient envoyé ces données à un serveur appartenant à l’attaquant nommé “githubshadow.xyz”.
De plus, dans les analyses, il a été rapporté que l’utilisateur GitHub, qui serait le développeur du projet en question, contrôlait un grand nombre de faux comptes avec (zldp2002) et visait à atteindre un plus grand nombre d’utilisateurs en forkant le projet via ces comptes. Dans certains forks, un autre package NPM malveillant, “bs58-encrypt-utils-1.0.3”, a été utilisé.
Après l’incident, SlowMist a détecté grâce à son outil d’analyse en chaîne nommé MistTrack que les attaquants avaient transféré une partie des cryptomonnaies volées vers la plateforme FixedFloat. On pense que l’attaque par logiciel malveillant est active depuis le 12 juin 2025.
SlowMist a déclaré que les utilisateurs doivent être extrêmement prudents avec les logiciels téléchargés à partir de plateformes de code source ouvert comme GitHub, en particulier dans les projets impliquant des clés privées ou des transactions de portefeuille. Dans les cas obligatoires, il a été recommandé d’exécuter de tels projets sur une machine isolée qui ne contient pas de données sensibles.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
