Репозиторій Github, що представляє себе законним бот-торгівлею Соланою, було піддано, що, як повідомляється, приховування криптовалютного крадіжки.
Відповідно до звіту в п’ятницю фірми Blockchain Security Slowmist, тепер видалений сховище Solana-Pumpfun-Bot, розміщений за рахунок облікового запису “ZLDP2002”, і наслідував реальний інструмент з відкритим кодом для збору облікових даних користувачів. Як повідомляється, Slowmist розпочав розслідування після того, як користувач виявив, що їх кошти були викрадені в четвер.
Зловмисне сховище Github, про яке йдеться, містять “відносно високу кількість зірок і виделків”, – сказав Slowmist. Усі кодування, що виконуються у всіх його каталогах, були зроблені близько трьох тижнів тому, з очевидними порушеннями та відсутністю послідовної картини, яка, на думку Slowmist, вказує на законний проект.
Проект на основі Node.js і використовує сторонній пакет Crypto-Layout-Utils як залежність.”Після подальшого огляду ми виявили, що цей пакет вже був вилучений з офіційного реєстру NPM”, – сказав Slowmist.
Пов’язано: Кампанія з крадіжки криптовалюти вражає користувачів Firefox за допомогою клонів гаманців
Підозрілий пакет NPM
Пакет більше не можна було завантажити з офіційного реєстру Manager Manager (NPM), який спонукає слідчих допитати, як жертва завантажила пакет. Досліджуючи далі, Slowmist виявив, що зловмисник завантажує михню з окремого сховища Github.
Проаналізувавши пакет, дослідники повільних сполук визнали, що він сильно прискіпливий за допомогою jsjiami.com.v7, що робить аналіз важче. Після де-об’єднання слідчі підтвердили, що це зловмисний пакет, який сканує локальні файли, і якщо він виявить вміст, пов’язаний з гаманець або приватні клавіші, він завантажить їх на віддалений сервер.
Пов’язано: Північнокорейські хакери, орієнтовані на проекти криптовалют із незвичайним експлуатуванням MAC
Більше одного сховища
Подальше розслідування повільно показало, що зловмисник, ймовірно, контролював партію рахунків Github. Ці рахунки використовувались для розладки проектів на зловмисні зміни, розповсюджуючи зловмисне програмне забезпечення, при цьому штучно надуючи вилки та підрахунок зірки.
Кілька розкладених сховищ демонстрували подібні функції, при цьому деякі версії включають ще один шкідливий пакет, BS58-entrypt-utils-1.0.3. Цей пакет був створений 12 червня, що коли дослідники повільно заявили, що вважають, що зловмисник почав розповсюджувати зловмисні модулі NPM та проекти Node.js.
Інцидент є останнім у ряді атак ланцюга поставок програмного забезпечення, орієнтованих на користувачів криптовалют. Останніми тижнями подібні схеми орієнтуються на користувачів Firefox з підробленими розширеннями гаманця та використовували сховища Github для розміщення коду крадіжки облікових даних.
