В последние годы криптовалюты стремительно завоевывают популярность по всему миру, привлекая миллионы новых пользователей и инвесторов. Вместе с ростом интереса к цифровым активам увеличивается и количество мошеннических схем, направленных на кражу средств. Одним из свежих примеров такой опасности стало мошенничество с фиктивным Solana-ботом на популярном ресурсе GitHub, который предназначался для торговли и автоматизации операций в сети Solana. Однако вместо пользы он становился инструментом для хищения криптовалютных активов пользователей. GitHub давно стал ключевой площадкой для распространения программного обеспечения и кодов open-source проектов.
Зачастую разработчики создают инструменты и боты, которые облегчают взаимодействие с блокчейном, помогают оптимизировать торговлю и анализировать рынок. Но к сожалению, именно через платформу GitHub злоумышленники все чаще распространяют вредоносные скрипты и программы, маскируя их под легитимные проекты. Мошеннический репозиторий под названием solana-pumpfun-bot был обнаружен известной компанией по кибербезопасности SlowMist. Он был зарегистрирован от имени пользователя с псевдонимом zldp2002. Внешне проект выглядел достаточно убедительно, имел значительное число звезд и форков, что создавало впечатление популярности и надежности.
Однако гораздо позже выяснилось, что этот бот содержит скрытую, тщательно маскированную вредоносную программу, цель которой — сбор данных пользователей и похищение приватных ключей их криптокошельков. Исследователи из SlowMist заметили подозрительные особенности в структуре коммитов и отсутствии четкой логики в обновлениях кода — явные признаки искусственного создания репозитория с целью мошенничества. Основным языком программирования был Node.js, что является одним из самых популярных инструментов для разработки бэкенд-приложений. В качестве зависимости бот использовал сторонний пакет crypto-layout-utils, который впоследствии был удален из официального регистра npm — indicia того, что пакет был признан вредоносным.
Дальнейший анализ показал, что зловред был достаточно сложен с технической точки зрения. Код пакета был сильно запутан с помощью jsjiami.com.v7 — инструмента обфускации JavaScript, предназначенного для усложнения обратного анализа кода. Однако после декодирования специалисты SlowMist обнаружили, что вредоносный скрипт сканирует локальные файлы на устройстве пользователя, проверяя наличие информации, связанной с криптовалютными кошельками, приватными ключами и другими уязвимостями.
Когда вредонос обнаруживал нужные данные, он загружал их на удаленный сервер злоумышленников, что открывало доступ к кошелькам и позволяло украсть все находящиеся на них средства. Важно подчеркнуть, что многие пользователи, доверившись «популярному» проекту на GitHub, сами запускали этот бот, тем самым добровольно передавая все секреты мошенникам. Интересное дополнение к расследованию связано с обнаружением, что злоумышленники управляли не одним, а множеством аккаунтов на GitHub. Они массово форкали оригинальные проекты, распространяя зараженные версии, искусственно надували количество звезд и форков для создания иллюзии легитимности. В некоторых случаях использовался другой вредоносный пакет под названием bs58-encrypt-utils-1.
0.3, который, по мнению исследователей, появился в июне 2025 года — примерно в тот же период, когда и началась активная дистрибуция вредоносных пакетов. Данный инцидент становится одной из последних примет глобальной проблемы с безопасностью в сфере криптовалют. Массовое заражение пользователей вредоносными расширениями браузеров, подделками кошельков и фейковыми программами на онлайн-платформах становится серьезной угрозой для цифровых активов. К сожалению, даже опытные пользователи порой становятся жертвами таких атак из-за повышенного уровня маскировки и обмана.
Специалисты напоминают, что при работе с криптовалютами крайне важно соблюдать меры предосторожности. Никогда не стоит скачивать и запускать программное обеспечение из непроверенных источников, особенно если речь идет о финансовых операциях. Рекомендуется отдавать предпочтение официальным репозиториям, внимательно изучать отзывы и проверять активность разработчиков. В случае сомнений лучше проконсультироваться с экспертами или сообществом. Дополнительно, для повышения уровня защиты рекомендуется использовать аппаратные кошельки, которые изначально изолируют приватные ключи от рисков утечки в интернете.
Регулярное обновление программного обеспечения и систем антивирусной защиты позволит снизить шанс успешного внедрения вредоносных скриптов. Немалую роль играет и сообщество разработчиков и площадки вроде GitHub, которые должны усилить контроль над качеством публикуемых проектов и оперативно реагировать на выявленные угрозы. Ужесточение верификации и повышение прозрачности проектов поможет пользователям избежать загрузки вредоносного ПО в будущем. В заключение, история с Solana-ботом на GitHub — это наглядный пример того, как мошенники могут использовать современные технологии и платформы для хищения средств пользователей. Это очередной сигнал к тому, что безопасность в криптопространстве требует внимательности, осторожности и постоянного обучения.
Только осознавая потенциальные риски и применяя комплексные меры защиты, можно надежно сохранить свои цифровые активы и избежать финансовых потерь в мире криптовалют.
