網路安全公司SlowMist揭示了在GitHub上發布並引起社區關注的開源項目“solana-pumpfun-bot”中包含針對用戶錢包的欺詐計劃。根據該公司的信息,運行該項目的用戶錢包中的加密貨幣被盜,部分資金轉移到了名爲FixedFloat的平台上。
事件發生在2025年7月2日,當時一名受害用戶向SlowMist團隊尋求幫助。根據用戶的陳述,在使用GitHub上的“zldp2002/solana-誘高fun-bot”項目的一天後,他的錢包中的加密貨幣被盜。
SlowMist在事件後進行的分析中發現,該項目基於Node.js,並依賴於一個名爲“crypto-layout-utils”的可疑第三方包。該包不在NPM的官方註冊中,並已被從平台上移除。檢查中發現,惡意程序員通過更改package-lock.json文件中的連結,誘導用戶下載惡意軟件。
SlowMist專家表示,下載的“crypto-layout-utils-1.3.1”包包含復雜且隱藏的代碼,經過分析後發現這些代碼掃描了用戶計算機上的錢包和包含私鑰的文件,並將這些數據發送到名爲“githubshadow.xyz”的攻擊者服務器。
此外,分析中提到,涉嫌該項目的開發者的 GitHub 用戶名 (zldp2002) 控制了大量虛假帳戶,並通過這些帳戶進行項目的誘高,目的是吸引更多用戶。在某些誘高中,使用了不同的惡意 NPM 包“bs58-encrypt-utils-1.0.3”。
事件發生後,SlowMist通過其名爲MistTrack的鏈上分析工具進行追蹤,發現攻擊者將他們盜竊的部分加密貨幣轉移到FixedFloat平台上。惡意軟件攻擊自2025年6月12日起被認爲處於活躍狀態。
SlowMist表示,用戶在涉及私鑰或錢包交易的項目中,特別需要對從GitHub等開源代碼平台下載的軟件保持高度警惕。建議在必要情況下,在不包含敏感數據的隔離機器上運行此類項目。
