Репозиторий GitHub, представляющий собой законного бота-торговли Solana, был выставлен для того, чтобы скрыть вредоносные программы для кражи крипто.
Согласно отчету в пятницу, проведенной компанией по безопасности Blockchain Secutemist, теперь удаленный репозиторий Solana-Pumpfun-Bot, размещенный в учетной записи «ZLDP2002», имитировал реальный инструмент с открытым исходным кодом для сбора учетных данных пользователей. По сообщениям, Slowmist начал расследование после того, как пользователь обнаружил, что его средства были украдены в четверг.
По словам Slowmist, в качестве вредоносного репозитория GitHub «относительно большое количество звезд и вилок». Все кодексы совершают все его каталоги, были сделаны около трех недель назад, с очевидными нарушениями и отсутствием последовательной модели, которая, по мнению Slowmist, укажет на законное проект.
Проект основан на node.js и использует сторонний пакет Crypto-Layout Upills в качестве зависимости. «После дальнейшего осмотра мы обнаружили, что этот пакет уже был удален из официального реестра NPM», – сказал Slowmist.
Связанный: Кампания по краже криптовалюты поражает пользователей Firefox клонами кошелька
Подозрительный пакет NPM
Пакет больше нельзя загрузить из официального реестра менеджеров пакетов узлов (NPM), что побуждает следователей задаться вопросом, как жертва загрузила пакет. Далее, Slowmist обнаружил, что злоумышленник загружал Library из отдельного репозитория GitHub.
После анализа пакета исследователи с медленным управлением обнаружили, что он сильно запутался с использованием jsjiami.com.v7, что делает анализ усердным. После де-уточнения следователи подтвердили, что это был вредоносный пакет, который сканирует локальные файлы, и если он обнаружит контент, связанный с кошельком, или частные ключи, он загрузит их на удаленный сервер.
Связанный: северокорейские хакеры, нацеленные на криптовалютные проекты с необычным эксплойтом Mac
Больше, чем один репозиторий
Дальнейшее расследование, проведенное Slowmist, показало, что злоумышленник, вероятно, контролировал партию счетов GitHub. Эти счета были использованы для раскисения проектов в злонамеренные вариации, распределяя вредоносные программы, в то время как искусственно раздувая вилку и количество звезд.
Множественные разветвленные репозитории показали аналогичные функции, с некоторыми версиями, включающими еще одну злонамеренную пакет, BS58-Encrypt-UTils-1.0.3. Этот пакет был создан 12 июня, когда исследователи медленного управления заявили, что, по их мнению, злоумышленник начал распространять вредоносные модули NPM и проекты Node.js.
Инцидент является последним в ряду атак программного обеспечения цепочки поставок, ориентированных на пользователей криптовалюты. В последние недели аналогичные схемы нацелены на пользователей Firefox с поддельными расширениями кошелька и использовали репозитории GitHub для размещения кода учета учетных данных.
