慢雾揭露,GitHub 平台上被广泛使用的开源项目“Solana-pumpfun-bot”中包含有可能从用户钱包中窃取加密货币的恶意代码。经过调查发现,该项目存在严重的安全漏洞,用户需谨慎使用。
调查始于2025年7月2日,一名受害者联系慢雾安全团队,寻求帮助分析其钱包资产被盗的原因。
此次事件的起因是他前一天利用托管在GitHub上的一个开源项目,导致加密资产被盗。SlowMist声明被盗资金正在转移到 FixedFloat 交易所。
项目作者是主要嫌疑人
为了实施攻击,黑客伪装成官方开源项目 (solana-pumpfun-bot),诱骗用户下载并运行恶意代码。调查过程中发现,一个名为“crypto-layout-utils”的可疑依赖包已从官方 NPM 源中删除。
黑客随后上传了该软件的恶意版本来代替原始下载URL。它在受害者的电脑上搜索与钱包相关的文件后,将敏感数据发送到攻击者控制的服务器。
调查还发现,该项目作者涉嫌控制多个 GitHub 账户。这些账户被用于 fork 恶意项目、分发恶意程序以及人为抬高项目知名度。我们还发现了多个存在类似恶意行为的 fork 项目,其中一些使用了另一个恶意软件包“bs58-encrypt-utils”。
整个攻击链涉及多个 GitHub 账户协同运作,扩大了传播范围,增强了可信度,且极具欺骗性。同时,此次攻击同时运用了社会工程学和技术手段,在组织内部难以完全防御。
该恶意活动被认为始于 2025 年 6 月 12 日。此时攻击者创建了恶意软件包“bs58-encrypt-utils”。
加密黑客攻击并没有取得太大进展,只是变得更加狡猾
Slowmist 表示,加密货币黑客攻击技术虽然没有太大进步,但手段却更加狡猾。Slowmist 的运营主管 Lisa 表示,说在该公司第二季度 MistTrack 被盗资金分析报告中,尽管黑客技术没有取得进展,但诈骗行为已经变得更加成熟.
有一个上升在虚假浏览器扩展、被篡改的硬件钱包和社会工程攻击中。“我们看到了从纯粹的链上攻击到链下入口点的明显转变——浏览器扩展、社交媒体帐户、身份验证流程和用户行为都成为常见的攻击面,”丽莎说道。
