В последние годы популярность криптовалют стремительно растет, а вместе с ней увеличивается количество киберпреступлений, направленных на кражу цифровых активов. Одним из таких тревожных случаев стало обнаружение мошенничества с ботом Solana на платформе GitHub, который распространял вредоносное ПО под видом инструмента для торговли криптовалютой. В результате пострадали многие пользователи, утратившие свои средства из-за проникновения злонамеренного кода в их системы. Рассмотрим подробнее, как происходило это мошенничество, какие механизмы использовались злоумышленниками и как можно защитить себя и свои цифровые активы от подобных угроз. GitHub – это одна из крупнейших площадок для размещения исходного кода программного обеспечения, где разработчики со всего мира публикуют проекты как с открытым, так и с закрытым исходным кодом.
Именно здесь была создана поддельная репозитория, позиционировавшая себя как настоящий торговый бот для криптовалютной сети Solana. Данный бот, предположительно, должен был помочь пользователям эффективно торговать токенами, анализировать рынок и автоматически выполнять сделки. Однако за фасадом полезного инструмента скрывался вредоносный код, предназначенный для похищения конфиденциальных данных пользователей. Данная репозитория получила сравнительно высокие показатели популярности: множество звезд и форков, что естественным образом внушало доверие потенциальным пользователям и привлекало киберпреступников все больше участников. Однако при более тщательном анализе специалисты по кибербезопасности отметили ряд подозрительных моментов: нестандартные паттерны коммитов, высокая обфускация кода и использование сомнительных зависимостей из внешних источников.
Именно это натолкнуло компанию SlowMist, специализирующуюся на блокчейн-безопасности, на расследование инцидента. Ключевой элемент в этой схеме – пакет npm, который именуется crypto-layout-utils. Согласно исследованию, данный пакет был удален с официального реестра npm из-за обнаружения вредоносной деятельности, однако в момент активации его использовали через альтернативные каналы, расположенные на GitHub. Вредоносный код был тщательно обфусцирован – для усложнения анализа применялись технологии jsjiami.com.
v7, что превращало процесс выявления угрозы в настоящую задачу с высокой степенью сложности. После процесса деобфускации специалисты подтвердили, что программа сканирует локальные файлы на наличие данных, связанных с криптовалютными кошельками, и при обнаружении конфиденциальной информации – загружает её на удаленный сервер злоумышленников. Таким образом, владельцы кошельков оказывались полностью лишены контроля над своими средствами. Расследование показало, что подобные вредоносные проекты не ограничивались одной лишь репозиторием. По всей видимости, группа хакеров контролировала несколько аккаунтов на GitHub, которые использовались для создания и форка похожих проектов с целью распространения вредоносного ПО и искусственного повышения показателей популярности в виде количества звезд и форков, что в свою очередь повышало доверие пользователей.
Некоторые из других вредоносных npm пакетов, связанные с этой деятельностью, включали bs58-encrypt-utils-1.0.3, созданный 12 июня. Исследователи SlowMist считают именно эту дату отправной точкой для масштабного распределения вредоносных модулей и Node.js-проектов, имеющих целью кражу пользовательских данных.
Данный инцидент является очередной демонстрацией опасности программных атак на цепочки поставок программного обеспечения (software supply chain attacks), которые становятся все более распространенными в мире криптовалют. Помимо GitHub, в последнее время сообщалось о похожих попытках мошенничества с использованием поддельных расширений для браузера Firefox, направленных на взлом криптокошельков и похищение активов. Для пользователей, инвестирующих в Solana и другие криптовалюты, данные события являются серьезным предупреждением о необходимости тщательно проверять источники программного обеспечения и всегда проявлять повышенную бдительность при установке и использовании торговых ботов и других инструментов. Принцип «доверяй, но проверяй» становится особенно актуальным в среде цифровых активов, где потеря конфиденциальных ключей ведет к необратимой потере средств. Для снижения рисков рекомендуется использовать только официальные и проверенные источники программ и постоянно обновлять программы антивирусной защиты.
Крайне важно никому не передавать приватные ключи или фразы восстановления кошельков. Также эксперты советуют внимательно анализировать репозитории на GitHub, обращая внимание на активность сообщества, комментарии и репутацию разработчиков, а также избегать использования сомнительных npm пакетов и библиотек. В целом, ключевым уроком из произошедшего является усиление мер безопасности на уровне инфраструктуры криптопроектов, а также повышение осведомленности пользователей. Информационные кампании по кибербезопасности, регулярные аудиты кода и использование многофакторной аутентификации помогают уменьшить уязвимости и сделать криптопространство более защищенным от подобных мошеннических атак. Помимо индивидуальных мер, необходима консолидация усилий площадок вроде GitHub, сообществ разработчиков и регуляторов для выявления и своевременного устранения вредоносного кода.
В конечном счете, уровень кибербезопасности напрямую зависит от коллективной ответственности всех участников рынка, включая пользователей, разработчиков и инфраструктурные платформы. Таким образом, мошенничество с ботом Solana на GitHub демонстрирует важность критического подхода к выбору программного обеспечения, а также необходимость внедрения надежных практик кибербезопасности для защиты своих криптовалютных активов. Будущие инициативы в сфере защиты цифровых финансов должны учитывать уроки подобных инцидентов для укрепления доверия и стабильности блокчейн-экосистемы.
