Недавнее расследование индустрии безопасности выявило мошеннический репозиторий на GitHub, который выдавал себя за торгового бота для Solana и использовал вредоносное ПО для кражи криптовалюты у пользователей.
Обнаружение вредоносного репозитория
По данным отчета, опубликованного компанией по безопасности блокчейна SlowMist, удаленный репозиторий solana-pumpfun-bot, который принадлежал пользователю “zldp2002”, маскировался под легитимный инструмент с открытым исходным кодом для сбора учетных данных пользователей. SlowMist начала расследование после того, как пользователь сообщил о краже средств.
Подозрительный пакет NPM
Вредоносный репозиторий имел высокое количество звезд и форков. Все коммиты в коде были сделаны около трех недель назад, что вызвало вопросы о легитимности проекта. SlowMist обнаружила, что используемый пакет crypto-layout-utils был удален из официального реестра NPM. Анализ пакета показал, что он был сильно обфусцирован, но после дешифровки исследователи подтвердили, что это вредоносный пакет, который сканирует локальные файлы на наличие информации о криптокошельках и загружает её на удаленный сервер.
Масштаб проблемы
Дополнительное расследование показало, что злоумышленник, вероятно, контролировал несколько аккаунтов на GitHub, используя их для создания форков проектов с учетом вредоносных изменений. Несколько таких репозиториев имели схожие признаки, включая внедрение другого вредоносного пакета, который появился 12 июня. Этот инцидент стал частью нарастающей волны атак на цепочку поставок программного обеспечения, нацеленных на пользователей криптовалют.
Данный случай служит напоминанием о рисках, связанных с программным обеспечением из ненадежных источников, и необходимости соблюдать осторожность при использовании открытого кода.
