一个伪装成合法Solana交易机器人的GitHub存储库被曝光，据报告隐藏了窃取加密货币的恶意软件。

根据区块链安全公司SlowMist周五发布的报告，由账户"zldp2002"托管的现已删除的solana-pumpfun-bot存储库模仿了一个真实的开源工具来收集用户凭证。据报告，SlowMist在一名用户发现其资金于周四被盗后启动了调查。

SlowMist表示，这个恶意GitHub存储库"拥有相对较高的星标和分叉数量"。其所有目录中的代码提交都是在大约三周前进行的，存在明显的不规律性和缺乏一致模式，据SlowMist称，这表明这不是一个合法项目。

该项目基于Node.js，并利用第三方包crypto-layout-utils作为依赖项。SlowMist表示："经过进一步检查，我们发现这个包已经从官方NPM注册表中删除。"

该包无法再从官方节点包管理器（NPM）注册表下载，促使调查人员质疑受害者是如何下载该包的。经过进一步调查，SlowMist发现攻击者是从一个单独的GitHub存储库下载该库的。

在分析该包后，SlowMist研究人员发现它使用jsjiami.com.v7进行了大量混淆，使分析变得更加困难。经过去混淆处理后，调查人员确认这是一个恶意包，它扫描本地文件，如果检测到与钱包相关的内容或私钥，就会将它们上传到远程服务器。

SlowMist的进一步调查显示，攻击者可能控制了一批GitHub账户。这些账户被用来将项目分叉为恶意变体，在人为夸大分叉和星标数量的同时分发恶意软件。

多个分叉存储库表现出相似特征，其中一些版本还包含另一个恶意包bs58-encrypt-utils-1.0.3。该包创建于6月12日，SlowMist研究人员表示他们认为攻击者从那时开始分发恶意NPM模块和Node.js项目。

这一事件是针对加密用户的一系列软件供应链攻击中的最新一起。最近几周，类似的计划已经通过虚假钱包扩展攻击Firefox用户，并使用GitHub存储库托管窃取凭证的代码。

相关推荐：加密货币中的地址投毒攻击是什么以及如何避免？

原文: 《 GitHub上的Solana机器人被曝窃取用户加密货币 》

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。