В последние годы криптовалюта продолжает набирать популярность, привлекая как инвесторов, так и преступников, ищущих возможности для обогащения за чужой счет. Особую угрозу для владельцев цифровых активов представляют мошеннические схемы, маскирующиеся под полезное программное обеспечение. Одним из таких примеров стала атака с использованием поддельного Solana бота, размещенного на платформе GitHub, которая в июле 2025 года была раскрыта специалистами по кибербезопасности компании SlowMist. Solana — одна из ведущих блокчейн-платформ, известная своей высокой скоростью транзакций и масштабируемостью. Её популярность привлекает внимание пользователей к инструментам для автоматизации трейдинга и управления активами.
Неудивительно, что злоумышленники решили воспользоваться этим трендом, создав репозиторий, который выдавался за легитимный торговый бот для работы с Solana. Однако под видом полезного инструмента скрывалось вредоносное программное обеспечение, нацеленное на кражу конфиденциальных данных пользователей криптокошельков. Репозиторий под названием solana-pumpfun-bot был опубликован на GitHub аккаунтом с ником zldp2002. Этот проект собрал значительное количество «звезд» и форков, что создавало впечатление его популярности и доверия сообщества. Тем не менее, все коммиты в репозитории были сделаны всего за три недели до его удаления, а само содержимое кода отличалось высокой степенью нерегулярности и отсутствием логики, характерной для настоящих программных проектов.
Это изначально могло насторожить опытных пользователей, но неопытные инвесторы часто ориентируются на количество звезд и форков как на знак качества и надежности. Исследование SlowMist показало, что проект был основан на Node.js и включал в качестве зависимости сторонний пакет crypto-layout-utils. Этот пакет был удалён из официального реестра менеджера пакетов NPM, что вызывает вопросы о безопасности и происхождении используемых компонентов. Аналитика показала, что злоумышленники скачивали этот пакет не из официального источника, а из отдельного репозитория на GitHub, что является дополнительным признаком мошенничества.
Код вредоносного пакета был сильно обфусцирован с помощью сервиса jsjiami.com.v7, что усложняло анализ. После деобфускации выяснилось, что программа сканировала локальные файлы на компьютере жертвы в поисках содержимого, связанного с криптокошельками. При обнаружении закрытых ключей или других критических данных они оперативно отправлялись на удалённый сервер злоумышленников.
Таким образом, бот не только предлагал пользователю якобы полезный автоматический трейдинг, но и тайно выводил его средства под контроль мошенников. Интересно, что у злоумышленников была сеть связанных аккаунтов на GitHub, которые они использовали для форка и распространения таких вредоносных проектов. Это позволяло им не только увеличивать видимость поддельных ботов за счет искусственного роста количества форков и звезд, но и создавать несколько вариантов зловредного ПО, используя разные пакеты с похожим функционалом. Один из таких пакетов, bs58-encrypt-utils-1.0.
3, был зарегистрирован 12 июня 2025 года и оказался частью масштабной кампании по распространению вредоносных Node.js модулей. Данный случай хорошо демонстрирует растущую угрозу со стороны атак на цепочку поставок ПО в криптовалютной сфере. Пользователи, скачивающие сторонние инструменты и библиотеки без должной проверки, подвергают себя риску компрометации своих приватных ключей и потери активов. Недавние аналогичные схемы включали фальшивые расширения для браузера Firefox, направленные на кражу данных кошельков, и другие случаи публикации вредоносного кода на популярных платформах для разработчиков.
Эксперты советуют всегда внимательно проверять источники программного обеспечения перед использованием. Наличие большого количества звезд на GitHub не гарантирует безопасность и легитимность проекта. Рекомендуется изучать историю коммитов, активность разработчиков, а также проверять, не удалены ли ключевые зависимости из официальных пакетов. Кроме того, следует использовать аппаратные кошельки и многофакторную аутентификацию для защиты криптоактивов. Значительный рост криптовалютных инвестиций и связанных с ними разработок неизбежно будет сопровождаться увеличением числа кибератак и мошеннических схем.
