Мир криптовалют продолжает привлекать внимание миллионов пользователей по всему миру, однако вместе с ростом популярности цифровых активов увеличивается и количество мошеннических схем. Один из последних громких случаев связан с поддельным торговым ботом Solana, размещённым на платформе GitHub. Этот бот оказался ничем иным, как вредоносным приложением, специально созданным для кражи кошельков и доступа к приватным ключам пользователей. В данной статье мы подробно рассмотрим, как была организована эта афера, какие методы использовали злоумышленники и как обезопасить себя от подобных угроз в будущем. GitHub давно стал центральным местом для разработчиков, где выкладываются тысячи проектов — от простых скриптов до сложных приложений.
Это одна из причин, почему хакеры выбирают эту площадку для размещения своих вредоносных программ – проекты на GitHub кажутся более надёжными из-за открытости исходного кода и возможности их проверить. Однако в случае с Solana-ботом, ситуация оказалась иной. В отчёте, опубликованном компанией по кибербезопасности SlowMist, рассказывалось, что на GitHub была размещена репозитория с названием solana-pumpfun-bot, которая выдавалась за настоящего торгового бота для блокчейн-платформы Solana. Этот бот породил значительный интерес среди пользователей: у него было много звёзд и форков, что придало ему видимость доверенного проекта. Однако расследование выявило массу подозрительных моментов, начиная с некачественного кода и заканчивая нелогичной структурой коммитов, которые были сделаны всего за несколько недель.
Ключевую роль в мошенничестве сыграла зависимость проекта от стороннего пакета под названием crypto-layout-utils, который, как выяснилось, уже был удалён из официального хранилища NPM – менеджера пакетов для Node.js. Это заставило специалистов SlowMist внимательно изучить, откуда же пользователь мог скачать эту библиотеку. Оказалось, что злоумышленник распространял необходимый пакет из другого источника – отдельной репозитории на GitHub, где содержался сильно обфусцированный, то есть скрывающий истинный код, файл. Для усложнения своей идентификации применялся jsjiami.
com.v7 — инструмент для обфускации JavaScript-кода. Его задача заключалась в том, чтобы сделать вредоносное ПО максимально незаметным как для пользователей, так и для исследователей. После процесса деобфускации было подтверждено, что пакет выполняет сканирование локальных файлов компьютера в поисках содержимого, связанного с криптокошельками, включая приватные ключи и seed-фразы. При обнаружении такой информации программа автоматически отправляла её на удалённый сервер, контролируемый хакерами.
Таким образом, все криптовалютные активы пользователя становились полностью уязвимыми перед захватом. Дальнейшее расследование показало, что речь не идёт об одном-единственном аккаунте на GitHub. Подозреваемый контролировал несколько аккаунтов, которые постоянно форкали (клонировали) известные проекты, меняя их код и внедряя вредоносные модули. Этот метод позволяет обмануть пользователей, создавая иллюзию, что проект широко используется и поддерживается сообществом, повышая тем самым доверие и стимулируя к загрузке и использованию. Некоторые репозитории содержали дополнительно другой вредоносный пакет под названием bs58-encrypt-utils-1.
0.3, который также был зарегистрирован всего в середине июня. Это свидетельствует о том, что кампания по распространению вредоносных нодовых пакетов и вредоносных проектов в GitHub стартовала недавно, и, возможно, злоумышленники имеют более масштабные планы. Стоит отметить, что этот случай стал частью целого ряда атак на цепочку поставок программного обеспечения в криптосфере, которые активно наблюдаются в последние месяцы. Ранее сообщалось о мошеннических расширениях для браузера Firefox, маскирующихся под кошельки для цифровых активов, а также других GitHub-проектах с вредоносным кодом, которые украли у пользователей значительные суммы.
Для пользователей, вовлечённых в деятельность с криптовалютами и особенно тех, кто использует сторонние инструменты и боты для торговли или управления активами, этот случай служит серьёзным предупреждением. Ни в коем случае нельзя загружать и запускать программы и библиотеки из сомнительных или неофициальных источников без должной проверки. Обязательно нужно уделять внимание репутации разработчика, количеству звёзд и форков, но не полагаться исключительно на них. Всегда стоит анализировать отзывы и искать в сети информацию о потенциальных рисках проекта. Эксперты советуют хранить приватные ключи и сид-фразы исключительно в автономных кошельках, использовать аппаратные кошельки, которые значительно снижают риск взлома.
Кроме того, необходимо регулярно обновлять антивирусное программное обеспечение и иметь защитные расширения в браузерах. Если вы — разработчик, занимающийся открытым ПО, крайне важно предупредить сообщество о подобных рисках и вести постоянный контроль за своими проектами. Также стоит сотрудничать с системами автоматического сканирования и аудита кода, использовать двухфакторную аутентификацию и постоянно следить за активностью в репозиториях. Это поможет минимизировать вероятность компрометации. Подводя итог, можно сказать, что инцидент с Solana-ботом на GitHub является ярким примером, как злоумышленники адаптируются к современным технологиям и используют популярные платформы для проведения атак.
Пользователям важно оставаться бдительными, подходить с осторожностью к выбору программного обеспечения и постоянно обучаться основам кибербезопасности. Мир криптовалют полон возможностей, но и рисков. Только осознанный подход к безопасности поможет сохранить ваши цифровые активы и защитить себя от мошеннических схем, подобных описанной в этом расследовании.
