一個偽裝成合法Solana交易機器人的GitHub儲存庫被曝光,據報告隱藏了竊取加密貨幣的惡意軟體。
根據區塊鏈安全公司SlowMist週五發布的報告,由帳戶"zldp2002"託管的現已刪除的solana-pumpfun-bot儲存庫模仿了一個真實的開源工具來收集用戶憑證。據報告,SlowMist在一名用戶發現其資金於週四被盜後啟動了調查。
SlowMist表示,這個惡意GitHub儲存庫"擁有相對較高的星標和分叉數量"。其所有目錄中的程式碼提交都是在大約三週前進行的,存在明顯的不規律性和缺乏一致模式,據SlowMist稱,這表明這不是一個合法專案。
該專案基於Node.js,並利用第三方包crypto-layout-utils作為依賴項。SlowMist表示:"經過進一步檢查,我們發現這個包已經從官方NPM註冊表中刪除。"
可疑的NPM包
該包無法再從官方節點包管理器(NPM)註冊表下載,促使調查人員質疑受害者是如何下載該包的。經過進一步調查,SlowMist發現攻擊者是從一個單獨的GitHub儲存庫下載該庫的。
在分析該包後,SlowMist研究人員發現它使用jsjiami.com.v7進行了大量混淆,使分析變得更加困難。經過去混淆處理後,調查人員確認這是一個惡意包,它掃描本地文件,如果檢測到與錢包相關的內容或私鑰,就會將它們上傳到遠程伺服器。
不止一個儲存庫
SlowMist的進一步調查顯示,攻擊者可能控制了一批GitHub帳戶。這些帳戶被用來將專案分叉為惡意變體,在人為誇大分叉和星標數量的同時分發惡意軟體。
多個分叉儲存庫表現出相似特徵,其中一些版本還包含另一個惡意包bs58-encrypt-utils-1.0.3。該包創建於6月12日,SlowMist研究人員表示他們認為攻擊者從那時開始分發惡意NPM模組和Node.js專案。
這一事件是針對加密用戶的一系列軟體供應鏈攻擊中的最新一起。最近幾週,類似的計畫已經通過虛假錢包擴展攻擊Firefox用戶,並使用GitHub儲存庫託管竊取憑證的程式碼。