Solana生態再次出現惡意機器人:配置文件隱藏私鑰泄露陷阱

近期,一名用戶因使用名爲 pumpfun-pumpswap-sniper-copy-trading-bot 的開源項目,導致加密資產被盜。安全團隊對此進行了深入分析。

靜態分析

分析發現,可疑代碼位於 /src/common/config.rs 配置文件中,主要集中在 create_coingecko_proxy() 方法內。該方法首先調用 import_wallet() 獲取私鑰,然後對惡意 URL 地址進行解碼。

解碼後的真實地址爲:

惡意代碼隨後構造 JSON 請求體,將私鑰信息封裝其中,通過 POST 請求發送至上述 URL。無論服務器返回何種結果,惡意代碼仍會繼續運行,以避免引起用戶察覺。

create_coingecko_proxy() 方法在應用啓動時被調用,位於 main.rs 中 main() 方法的配置文件初始化階段。

該項目在 GitHub 上於近期(2025 年 7 月 17 日)進行了更新,主要更改集中在 src 目錄下的配置文件 config.rs 中。HELIUS_PROXY(攻擊者服務器地址)的原地址編碼已被替換爲新的編碼。

動態分析

爲直觀觀察惡意代碼的盜竊過程,研究人員編寫了 Python 腳本生成測試用的 Solana 公私鑰對,並搭建了接收 POST 請求的 HTTP 服務器。

將測試服務器地址編碼替換原攻擊者設置的惡意服務器地址編碼,並將 .env 文件中的 PRIVATE_KEY(私鑰)替換爲測試私鑰。

啓動惡意代碼後,測試服務器成功接收到了惡意項目發送的 JSON 數據,其中包含 PRIVATE_KEY(私鑰)信息。

入侵指標(IoCs)

IP: 103.35.189.28 域名: storebackend-qpq3.onrender.com

惡意倉庫:

類似實現手法的其他倉庫也被列出。

總結

攻擊者通過僞裝成合法開源項目,誘導用戶下載並執行該惡意代碼。該項目會從本地讀取 .env 文件中的敏感信息,並將盜取的私鑰傳輸至攻擊者控制的服務器。

建議開發者與用戶對來路不明的 GitHub 項目保持高度警惕,尤其是在涉及錢包或私鑰操作時。如確需運行或調試,建議在獨立且無敏感數據的環境中進行,避免執行來源不明的惡意程序和命令。