В современном мире криптовалюты и блокчейн-технологий вопросы безопасности остаются критически важными для всех пользователей. Несмотря на достигнутый прогресс в области кибербезопасности, злоумышленники не перестают разрабатывать новые и изощренные схемы для обмана и кражи цифровых активов. Одной из таких опасных махинаций стала мошенническая атака с использованием поддельного Solana-бота на платформе GitHub, который под притворством легального программного продукта распространял вредоносное программное обеспечение и похищал криптовалютные средства у пользователей. Рассмотрим подробности этой истории, методы злоумышленников и способы защиты от подобных угроз.GitHub давно стал популярной платформой для разработчиков, где размещается огромное количество открытого кода, полезных инструментов и библиотек.
Однако его популярность делает сайт привлекательной площадкой и для мошенников, которые пытаются замаскировать вредоносный код под легальные репозитории. В июле 2025 года компания SlowMist, специализирующаяся на блокчейн-безопасности, выявила опасный репозиторий с названием solana-pumpfun-bot, якобы представляющий собой инструмент для торговли криптовалютой Solana. Однако за внешне привлекательным проектом скрывался зловредный код, который крал данные пользователей.Атака началась с размещения на GitHub репозитория, который активно привлекал внимание с помощью большого числа звезд и форков. Это создавало иллюзию популярности и надежности проекта.
Однако при более глубоком анализе специалистами SlowMist было замечено множество подозрительных особенностей. Все коммиты кода были выполнены примерно за три недели до обнаружения инцидента и носили хаотичный характер, что нехарактерно для настоящих профессиональных программных проектов. Кроме того, в коде использовалась сторонняя зависимость — пакет crypto-layout-utils, который был удален из официального реестра npm ещё до публикации, что вызвало дополнительные сомнения.Злоумышленники использовали высокую степень обфускации кода с помощью сервиса jsjiami.com.
v7. Это значительно усложняло анализ и выявление вредоносных функций. Но после исследований специалисты сумели декодировать код и выяснили, что он сканировал локальные файлы пользователей на наличие информации о криптовалютных кошельках, особенно приватных ключей и других чувствительных данных. При обнаружении таких данных они автоматически отправлялись на удаленный сервер злоумышленников, что открывало им полный доступ к средствам жертв.Параллельно с основным репозиторием исследователи обнаружили несколько поддельных форков и других связанных аккаунтов на GitHub, которые публиковали модифицированные версии хозяйского кода с использованием дополнительных вредоносных пакетов, таких как bs58-encrypt-utils-1.
0.3. Аналитики предполагают, что эти аккаунты подконтрольны одной группе и используются для искусственного наращивания популярности, чтобы привлечь больше доверчивых пользователей.Интересно, что злодеи не ограничились только GitHub. Они также распространяли свои вредоносные пакеты через альтернативные репозитории и отдельные GitHub-репозитории, что позволяло обходить стандартные механизмы безопасности npm.
Это показывает, как важно уделять внимание не только источнику загрузки программного обеспечения, но и репутации каждого из его компонентов.Данная атака является частью более широкой тенденции со стороны киберпреступников, которые все активнее нацеливаются на программные цепочки поставок в криптоиндустрии. В последние месяцы фиксировались аналогичные случаи, когда вредоносные расширения для браузеров, поддельные приложения и фальшивые инструменты распространялись от имени авторитетных проектов, что привело к значительным потерям пользователей.Для владельцев криптовалют крайне важно тщательно проверять источники скачиваемого программного обеспечения и зависимости, избегая подозрительных проектов с сомнительной историей коммитов, а также не доверять репозиториям, которые используют заблокированные или удаленные npm-пакеты. Важно поддерживать программное обеспечение в актуальном состоянии и применять многофакторную аутентификацию для защиты своих учетных записей.
Кроме того, рекомендуется использовать аппаратные кошельки и специальные средства для хранения приватных ключей, чтобы минимизировать риск компрометации через софтверные уязвимости. При работе с новыми инструментами следует ориентироваться на проверенных разработчиков и официальные источники, а также регулярно отслеживать новости и отчеты о выявленных угрозах от компаний, занимающихся кибербезопасностью.Инциденты вроде мошенничества с поддельным Solana-ботом на GitHub показывают, что достигнутые успехи в криптовалютных технологиях нельзя воспринимать как гарантию безопасности. Важнейшую роль в защите цифровых активов играют внимательность пользователей, грамотная организация процессов обеспечения безопасности и своевременное реагирование на потенциальные угрозы.Криптопространство продолжает привлекать как опытных инвесторов, так и новичков, что делает задачи кибербезопасности еще более актуальными.
