В последние годы криптовалюты приобрели огромную популярность, что привлекло внимание не только инвесторов и технологов, но и злоумышленников. Одной из последних опасных схем стало мошенничество с использованием поддельного Solana-бота, размещенного на платформе GitHub. Эта афера, выявленная специалистами по кибербезопасности, представляет серьезную угрозу для пользователей криптовалюты, особенно тех, кто доверяет открытым исходным кодам и инструментам для торговли на базе блокчейн-проекта Solana. В основе мошеннической схемы лежит репозиторий solana-pumpfun-bot, который внешне напоминает легитимный бот для торговли на Solana. Однако исследование, проведенное известной фирмой по безопасности SlowMist, выявило, что данное программное обеспечение содержит скрытое вредоносное ПО, способное похищать учетные данные криптокошельков пользователей.
Подделка выглядела достаточно привлекательно для пользователей: репозиторий имел значительное количество звезд и форков, что создавало видимость популярности и доверия. Это сыграло на руку злоумышленникам, так как многие потенциальные жертвы, увидев высокий рейтинг, не подозревали о его опасности и скачивали программы без должной осторожности. Все коммиты кода в проекте были опубликованы примерно три недели назад и имели признаки нерегулярности, что также могло бы насторожить внимательных пользователей. Трейд-бот был реализован на платформе Node.js и использовал стороннюю библиотеку crypto-layout-utils.
Именно этот пакет оказался чем-то подозрительным — он был удален из официального реестра npm, что указывает на нарушение политики безопасности. Тем не менее, пользователи продолжали загружать его с альтернативных источников, что дало мошенникам возможность обойти стандартные механизмы защиты. Работа вредоносного ПО была тщательно замаскирована: исследователям удалось выяснить, что программа подвергалась сильному обфускации с использованием технологии jsjiami.com.v7.
Такой уровень защиты кода значительно усложнял анализ и выявление вредоносной активности. Однако после проведения декодирования стало понятно, что вредоносный пакет просматривает локальные файлы пользователей и при обнаружении содержимого, связанного с криптокошельками, а также приватных ключей, отправляет эти данные на удаленный сервер преступников. Расследование SlowMist показало, что мошенник управлял несколькими аккаунтами на GitHub, которые использовались для форкания различных проектов и создания их вредоносных копий. Такой подход позволял не только распространять зараженный код, но также искусственно увеличивать количество звезд и форков, что еще больше вводило в заблуждение потенциальных пользователей и создавало видимость надежного проекта. Кроме использования crypto-layout-utils, некоторые из нитей вредоносных копий содержали еще один подозрительный пакет bs58-encrypt-utils-1.
0.3, созданный 12 июня — предполагаемой датой начала активного распространения этих вредоносных модулей. Таким образом, правообладатели и специалисты по безопасности предупреждают, что мы имеем дело с хорошо организованной и целенаправленной кампанией по атаке на криптопользователей. Этот случай подчеркивает одну из самых серьезных угроз современного криптовалютного рынка — атаки на цепочку поставок программного обеспечения. При таком виде киберпреступности злоумышленники не взламывают напрямую конечных пользователей, а внедряют злонамеренный код в инструменты и библиотеки, которыми пользуются инвесторы и трейдеры.
Подобные атаки уже проявлялись недавно: например, поддельные расширения для браузера Firefox также становились источниками кражи учетных данных кошельков. Для корректного взаимодействия с криптовалютой и безопасной торговли крайне важно внимательно выбирать источники программного обеспечения. Проверка репозиториев на платформе GitHub должна включать детальный анализ активности аккаунтов, даты коммитов и отзывы сообщества. Недоверие к пакетам, удаленным из официальных реестров, и использование дополнительных инструментов для проверки целостности кода должны стать обязательными практиками. Кроме того, пользователям рекомендуется хранить свои приватные ключи и фразы восстановления вне компьютеров, подключенных к интернету, или использовать аппаратные кошельки.
Это снижет риски кражи даже в случае попадания вредоносного ПО в систему. Общество криптопользователей и платформы хостинга программного обеспечения должны объединить усилия для выявления и удаления вредоносных проектов как можно раньше. Хакерам удается выигрывать время за счет создания множества поддельных аккаунтов и форков, а также успешного внедрения высокотехнологичной обфускации. Развитие подобных мошеннических схем подчеркивает необходимость усиления кибербезопасности в экосистеме блокчейна. Разработчикам, инвесторам и трейдерам важно постоянно повышать уровень своей осведомленности о новых угрозах и методах защиты.
В целом, инцидент с Solana-ботом на GitHub — это еще одно серьезное предупреждение о том, насколько уязвимы цифровые активы при отсутствии бдительности. Криптовладельцы должны всегда подходить к выбору инструментов с осторожностью и пользоваться проверенными источниками, чтобы обезопасить свои инвестиции от рук киберпреступников.
