Réapparition de Bots malveillants dans l'écosystème Solana : Risques de fuite de la Clé privée cachée dans le profil
Récemment, des utilisateurs ont perdu des actifs cryptographiques en utilisant un projet open source nommé audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. L'équipe de recherche en sécurité a effectué une analyse approfondie.
Processus d'analyse
Analyse statique
Une analyse statique a révélé que le code suspect se trouve dans le fichier de configuration /src/common/config.rs, principalement concentré dans la méthode create_coingecko_proxy(). Cette méthode appelle d'abord import_wallet() pour obtenir les informations de la clé privée, puis décode l'adresse URL malveillante.
L'adresse réelle après décodage est :
Le code malveillant convertira les informations de clé privée obtenues en chaîne Base58, construira un corps de requête JSON et enverra via une requête POST au serveur désigné par l'URL ci-dessus.
La méthode create_coingecko_proxy() est appelée lors du démarrage de l'application, au cours de la phase d'initialisation du fichier de configuration de la méthode main() dans main.rs.
Le projet a récemment été mis à jour sur GitHub, les principaux changements se concentrent sur le fichier de configuration config.rs dans le répertoire src, l'adresse du serveur de l'attaquant HELIUS_PROXY( a été remplacée par un nouveau codage.
![L'écosystème Solana présente de nouveau des Bots malveillants : le profil cache un piège de divulgation de Clé privée])https://img-cdn.gateio.im/webp-social/moments-18e2e53ca3a5e4a8aa697fefe2d3dc09.webp(
![Les bots malveillants réapparaissent dans l'écosystème Solana : le profil cache un piège de divulgation de clé privée])https://img-cdn.gateio.im/webp-social/moments-1b9cc836d53854710f7ef3b8406e63ad.webp(
![L'écosystème Solana fait face à des bots malveillants : le profil cache un piège de divulgation de clé privée])https://img-cdn.gateio.im/webp-social/moments-64fa1620b6e02f9f0babadd4ae8038be.webp(
![Solana écosystème réapparaît avec des Bots malveillants : le fichier de configuration cache un piège pour la transmission de la Clé privée])https://img-cdn.gateio.im/webp-social/moments-52dfae255e511bbb7a9813af7340c52e.webp(
![L'écosystème Solana est à nouveau confronté à des Bots malveillants : le profil cache un piège de divulgation de clé privée])https://img-cdn.gateio.im/webp-social/moments-453d878924f97e2f24033e4d40f0a24c.webp(
![Solana écosystème revoit des Bots malveillants : le fichier de configuration cache un piège de Clé privée])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
![L'écosystème Solana voit réapparaître des Bots malveillants : le profil cache un piège d'exposition de Clé privée])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
![Les Bots malveillants réapparaissent dans l'écosystème Solana : le profil cache un piège pour la fuite de la Clé privée])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(
![La réapparition de bots malveillants dans l'écosystème Solana : le profil cache un piège d'exposition de clé privée])https://img-cdn.gateio.im/webp-social/moments-64fca774c385631399844f160f2f10f6.webp(
![L'écosystème Solana présente à nouveau des Bots malveillants : le fichier de configuration cache un piège de transmission de clé privée])https://img-cdn.gateio.im/webp-social/moments-7f864266a4358a6c8e9a79f81724e28b.webp(
![L'écosystème Solana fait face à des Bots malveillants : le profil cache un piège d'exfiltration de Clé privée])https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp(
![Réapparition de Bots malveillants dans l'écosystème Solana : le profil cache un piège pour l'exfiltration de la Clé privée])https://img-cdn.gateio.im/webp-social/moments-72fa652d772e8b9e2cf92ebb70beb665.webp(
![Solana écosystème de nouveau confronté à des Bots malveillants : le profil cache un piège pour la transmission de la Clé privée])https://img-cdn.gateio.im/webp-social/moments-cfefb15e6201f47f30b9dc4db76d81d3.webp(
![Solana écosystème présente à nouveau des Bots malveillants : le profil cache un piège de fuite de Clé privée])https://img-cdn.gateio.im/webp-social/moments-57ba4a644ebef290c283580a2167824f.webp(
![Les écosystèmes Solana réapparaissent avec des Bots malveillants : le profil cache un piège pour la fuite de la clé privée])https://img-cdn.gateio.im/webp-social/moments-2be2dd9eda6128199be4f95aa1cde0a7.webp(
) Analyse dynamique
L'équipe de recherche a écrit un script Python pour générer des paires de clés publiques et privées Solana à des fins de test, et a mis en place un serveur HTTP capable de recevoir des requêtes POST. L'adresse du serveur de test a été codée pour remplacer l'adresse codée du serveur malveillant initialement définie par l'attaquant, et la clé privée dans le fichier .env a été remplacée par la clé privée de test.
Après le lancement du code malveillant, le serveur de test a réussi à recevoir les données JSON envoyées par le projet malveillant, qui contiennent des informations sur la clé privée ###.
Indicateurs d'intrusion ( IoCs )
IP : 103.35.189.28
Nom de domaine : storebackend-qpq3.onrender.com
Entrepôt malveillant:
De plus, plusieurs dépôts GitHub utilisant des méthodes similaires ont été découverts.
Résumé
Cette technique d'attaque consiste à se faire passer pour un projet open source légitime, incitant les utilisateurs à télécharger et exécuter du code malveillant. Le projet lira les informations sensibles dans le fichier .env local et transmettra la clé privée volée à un serveur contrôlé par l'attaquant.
Il est conseillé aux développeurs de rester vigilants vis-à-vis des projets GitHub d'origine inconnue, en particulier lorsqu'il s'agit d'opérations sur les portefeuilles ou les clés privées. Si vous devez exécuter ou déboguer, cela doit être fait dans un environnement indépendant et sans données sensibles, afin d'éviter d'exécuter des programmes et des commandes d'origine inconnue.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
9 J'aime
Récompense
9
8
Reposter
Partager
Commentaire
0/400
MEV_Whisperer
· Il y a 1h
Encore tombé entre les mains des Bots ? Copier les mots-clés ou pas, ce n'est toujours pas sûr.
Voir l'originalRépondre0
LiquidationWizard
· Il y a 3h
呵呵 prise des gens pour des idiots encore là
Voir l'originalRépondre0
WalletWhisperer
· Il y a 19h
Encore un cas d'escroquerie de Clé privée sigh
Voir l'originalRépondre0
ReverseFOMOguy
· 08-10 12:38
Les pigeons de la Blockchain meurent très tragiquement.
Voir l'originalRépondre0
TokenDustCollector
· 08-10 12:29
Blockchain a encore produit un tueur financier.
Voir l'originalRépondre0
LiquidityOracle
· 08-10 12:26
Après tout ce temps, c'est encore une fuite de clé privée. Quand cela va-t-il s'arrêter ?
Voir l'originalRépondre0
NoodlesOrTokens
· 08-10 12:25
C'est vraiment terrible d'avoir été volé~ Encore une victime qui se retrouve à terre.
Des Bots malveillants émergent dans l'écosystème Solana, le risque de fuite de clé privée réapparaît.
Réapparition de Bots malveillants dans l'écosystème Solana : Risques de fuite de la Clé privée cachée dans le profil
Récemment, des utilisateurs ont perdu des actifs cryptographiques en utilisant un projet open source nommé audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. L'équipe de recherche en sécurité a effectué une analyse approfondie.
Processus d'analyse
Analyse statique
Une analyse statique a révélé que le code suspect se trouve dans le fichier de configuration /src/common/config.rs, principalement concentré dans la méthode create_coingecko_proxy(). Cette méthode appelle d'abord import_wallet() pour obtenir les informations de la clé privée, puis décode l'adresse URL malveillante.
L'adresse réelle après décodage est :
Le code malveillant convertira les informations de clé privée obtenues en chaîne Base58, construira un corps de requête JSON et enverra via une requête POST au serveur désigné par l'URL ci-dessus.
La méthode create_coingecko_proxy() est appelée lors du démarrage de l'application, au cours de la phase d'initialisation du fichier de configuration de la méthode main() dans main.rs.
Le projet a récemment été mis à jour sur GitHub, les principaux changements se concentrent sur le fichier de configuration config.rs dans le répertoire src, l'adresse du serveur de l'attaquant HELIUS_PROXY( a été remplacée par un nouveau codage.
![L'écosystème Solana présente de nouveau des Bots malveillants : le profil cache un piège de divulgation de Clé privée])https://img-cdn.gateio.im/webp-social/moments-18e2e53ca3a5e4a8aa697fefe2d3dc09.webp(
![Les bots malveillants réapparaissent dans l'écosystème Solana : le profil cache un piège de divulgation de clé privée])https://img-cdn.gateio.im/webp-social/moments-1b9cc836d53854710f7ef3b8406e63ad.webp(
![L'écosystème Solana fait face à des bots malveillants : le profil cache un piège de divulgation de clé privée])https://img-cdn.gateio.im/webp-social/moments-64fa1620b6e02f9f0babadd4ae8038be.webp(
![Solana écosystème réapparaît avec des Bots malveillants : le fichier de configuration cache un piège pour la transmission de la Clé privée])https://img-cdn.gateio.im/webp-social/moments-52dfae255e511bbb7a9813af7340c52e.webp(
![L'écosystème Solana est à nouveau confronté à des Bots malveillants : le profil cache un piège de divulgation de clé privée])https://img-cdn.gateio.im/webp-social/moments-453d878924f97e2f24033e4d40f0a24c.webp(
![Solana écosystème revoit des Bots malveillants : le fichier de configuration cache un piège de Clé privée])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
![L'écosystème Solana voit réapparaître des Bots malveillants : le profil cache un piège d'exposition de Clé privée])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
![Les Bots malveillants réapparaissent dans l'écosystème Solana : le profil cache un piège pour la fuite de la Clé privée])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(
![La réapparition de bots malveillants dans l'écosystème Solana : le profil cache un piège d'exposition de clé privée])https://img-cdn.gateio.im/webp-social/moments-64fca774c385631399844f160f2f10f6.webp(
![L'écosystème Solana présente à nouveau des Bots malveillants : le fichier de configuration cache un piège de transmission de clé privée])https://img-cdn.gateio.im/webp-social/moments-7f864266a4358a6c8e9a79f81724e28b.webp(
![L'écosystème Solana fait face à des Bots malveillants : le profil cache un piège d'exfiltration de Clé privée])https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp(
![Réapparition de Bots malveillants dans l'écosystème Solana : le profil cache un piège pour l'exfiltration de la Clé privée])https://img-cdn.gateio.im/webp-social/moments-72fa652d772e8b9e2cf92ebb70beb665.webp(
![Solana écosystème de nouveau confronté à des Bots malveillants : le profil cache un piège pour la transmission de la Clé privée])https://img-cdn.gateio.im/webp-social/moments-cfefb15e6201f47f30b9dc4db76d81d3.webp(
![Solana écosystème présente à nouveau des Bots malveillants : le profil cache un piège de fuite de Clé privée])https://img-cdn.gateio.im/webp-social/moments-57ba4a644ebef290c283580a2167824f.webp(
![Les écosystèmes Solana réapparaissent avec des Bots malveillants : le profil cache un piège pour la fuite de la clé privée])https://img-cdn.gateio.im/webp-social/moments-2be2dd9eda6128199be4f95aa1cde0a7.webp(
) Analyse dynamique
L'équipe de recherche a écrit un script Python pour générer des paires de clés publiques et privées Solana à des fins de test, et a mis en place un serveur HTTP capable de recevoir des requêtes POST. L'adresse du serveur de test a été codée pour remplacer l'adresse codée du serveur malveillant initialement définie par l'attaquant, et la clé privée dans le fichier .env a été remplacée par la clé privée de test.
Après le lancement du code malveillant, le serveur de test a réussi à recevoir les données JSON envoyées par le projet malveillant, qui contiennent des informations sur la clé privée ###.
Indicateurs d'intrusion ( IoCs )
De plus, plusieurs dépôts GitHub utilisant des méthodes similaires ont été découverts.
Résumé
Cette technique d'attaque consiste à se faire passer pour un projet open source légitime, incitant les utilisateurs à télécharger et exécuter du code malveillant. Le projet lira les informations sensibles dans le fichier .env local et transmettra la clé privée volée à un serveur contrôlé par l'attaquant.
Il est conseillé aux développeurs de rester vigilants vis-à-vis des projets GitHub d'origine inconnue, en particulier lorsqu'il s'agit d'opérations sur les portefeuilles ou les clés privées. Si vous devez exécuter ou déboguer, cela doit être fait dans un environnement indépendant et sans données sensibles, afin d'éviter d'exécuter des programmes et des commandes d'origine inconnue.