# ソラナエコシステム再現悪意ボット:設定ファイル隠蔽秘密鍵外伝リスク最近、ユーザーがaudiofilter/pumpfun-pumpswap-sniper-copy-trading-botという名前のオープンソースプロジェクトを使用した結果、暗号資産が盗まれました。セキュリティ研究チームはこれについて詳細な分析を行いました。## 分析プロセス### 静的解析静的解析を通じて、疑わしいコードが/src/common/config.rsの設定ファイルに存在することがわかりました。主にcreate_coingecko_proxy()メソッド内に集中しています。このメソッドはまずimport_wallet()を呼び出して秘密鍵の情報を取得し、その後悪意のあるURLアドレスをデコードします。デコードされた実際のアドレスは:悪意のあるコードは取得した秘密鍵情報をBase58文字列に変換し、JSONリクエストボディを構築して、上記のURLが指すサーバーにPOSTリクエストを送信します。create_coingecko_proxy()メソッドはアプリケーション起動時に呼び出され、main.rsのmain()メソッドの設定ファイル初期化段階にあります。このプロジェクトは最近GitHubで更新され、主な変更はsrcディレクトリ内の設定ファイルconfig.rsに集中しています。HELIUS_PROXY(攻撃者サーバーの元のアドレスのエンコーディングは新しいエンコーディングに置き換えられました。! [悪意のあるロボットのSolana生態学的複製:設定ファイル隠し秘密鍵送信トラップ])https://img-cdn.gateio.im/social/moments-18e2e53ca3a5e4a8aa697fefefefe2d3dc09(! [悪意のあるボットのSolana生態学的複製:設定ファイルの隠し秘密鍵トラップ])https://img-cdn.gateio.im/social/moments-1b9cc836d53854710f7ef3b8406e63ad(! [悪意のあるボットのSolana生態学的複製:設定ファイル隠し秘密鍵トラップ])https://img-cdn.gateio.im/social/moments-64fa1620b6e02f9f0babadd4ae8038be(! [Solanaエコシステムは悪意のあるボットを再現します:設定ファイルの隠し秘密鍵トラップ])https://img-cdn.gateio.im/social/moments-52dfae255e511bbb7a9813af7340c52e(! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵送信トラップ])https://img-cdn.gateio.im/social/moments-453d878924f97e2f24033e4d40f0a24c(! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルに隠された秘密鍵トラップ])https://img-cdn.gateio.im/social/moments-c092752ca8254c7c3dfa22bde91a954c(! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵トラップ])https://img-cdn.gateio.im/social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78(![ソラナエコシステムに再び悪意のあるボットが現れる:プロフィールに隠された秘密鍵の外伝トラップ])https://img-cdn.gateio.im/social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177(![ソラナエコシステムに再び悪意のあるボットが出現:プロファイルに秘密鍵外伝の罠が隠されている])https://img-cdn.gateio.im/social/moments-64fca774c385631399844f160f2f10f6(! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルに隠された秘密鍵トラップ])https://img-cdn.gateio.im/social/moments-7f864266a4358a6c8e9a79f81724e28b(! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵送信トラップ])https://img-cdn.gateio.im/social/moments-9bdba50464383385bd886d9ef9bee815(! [悪意のあるボットのSolana生態学的複製:構成ファイルに隠された秘密鍵トラップ])https://img-cdn.gateio.im/social/moments-72fa652d772e8b9e2cf92ebb70beb665(! [Solana悪意のあるロボットの生態学的複製:設定ファイル隠し秘密鍵送信トラップ])https://img-cdn.gateio.im/social/moments-cfefb15e6201f47f30b9dc4db76d81d3(! [Solanaエコシステムは悪意のあるボットを再現します:設定ファイルの隠し秘密鍵トラップ])https://img-cdn.gateio.im/social/moments-57ba4a644ebef290c283580a2167824f(![ソラナエコシステムで再び悪意のあるボットが出現:プロファイルに私鍵外伝の罠が隠されている])https://img-cdn.gateio.im/social/moments-2be2dd9eda6128199be4f95aa1cde0a7() 動的解析研究チームは、テスト用のソラナの公開鍵と秘密鍵のペアを生成するためにPythonスクリプトを作成し、POSTリクエストを受信できるHTTPサーバーを構築しました。テストサーバーのアドレスエンコーディングを元の攻撃者が設定した悪意のあるサーバーのアドレスエンコーディングに置き換え、.envファイル内のPRIVATE_KEYをテスト秘密鍵に置き換えました。悪意のコードを起動した後、テストサーバーは悪意のあるプロジェクトから送信されたJSONデータを成功裏に受信しました。その中にはPRIVATE_KEY###秘密鍵(の情報が含まれています。! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵送信トラップ])https://img-cdn.gateio.im/social/moments-d37c144e4d0ea21d3d498ad94e543163(! [Solanaエコシステムは悪意のあるロボットを再現します:構成ファイルの隠し秘密鍵送信トラップ])https://img-cdn.gateio.im/social/moments-68ecbf61d12fe93ff3064dd2e33b0a8c(! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵送信トラップ])https://img-cdn.gateio.im/social/moments-6af3aa6c3c070effb3a6d1d986126ea3(![ソラナエコシステムに再現された悪意のあるボット:設定ファイルに私鍵外伝の罠が隠されている])https://img-cdn.gateio.im/social/moments-a0148c7998bea12a4bcd48595652589a(## 侵入インジケータ )IoCs(- IPアドレス:103.35.189.28- ドメイン名:storebackend-qpq3.onrender.com- 悪意のある倉庫: さらに、類似の手法を使用した複数のGitHubリポジトリが発見されました。! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルに隠された秘密鍵トラップ])https://img-cdn.gateio.im/social/moments-9869ded8451159c388daf8f18fab1522(## まとめこの攻撃手法は、合法的なオープンソースプロジェクトに偽装し、ユーザーに悪意のあるコードをダウンロードして実行させることで成り立っています。プロジェクトは、ローカルの.envファイルに含まれる敏感情報を読み取り、盗まれた秘密鍵を攻撃者が制御するサーバーに送信します。開発者は、特にウォレットや秘密鍵の操作に関わる場合、出所不明のGitHubプロジェクトに対して警戒を維持することをお勧めします。実行またはデバッグする必要がある場合は、独立した敏感データのない環境で行い、出所不明のプログラムやコマンドの実行を避けるべきです。
ソラナエコシステムに悪意のあるボットが出現し、秘密鍵の漏洩リスクが再び浮上
ソラナエコシステム再現悪意ボット:設定ファイル隠蔽秘密鍵外伝リスク
最近、ユーザーがaudiofilter/pumpfun-pumpswap-sniper-copy-trading-botという名前のオープンソースプロジェクトを使用した結果、暗号資産が盗まれました。セキュリティ研究チームはこれについて詳細な分析を行いました。
分析プロセス
静的解析
静的解析を通じて、疑わしいコードが/src/common/config.rsの設定ファイルに存在することがわかりました。主にcreate_coingecko_proxy()メソッド内に集中しています。このメソッドはまずimport_wallet()を呼び出して秘密鍵の情報を取得し、その後悪意のあるURLアドレスをデコードします。
デコードされた実際のアドレスは:
悪意のあるコードは取得した秘密鍵情報をBase58文字列に変換し、JSONリクエストボディを構築して、上記のURLが指すサーバーにPOSTリクエストを送信します。
create_coingecko_proxy()メソッドはアプリケーション起動時に呼び出され、main.rsのmain()メソッドの設定ファイル初期化段階にあります。
このプロジェクトは最近GitHubで更新され、主な変更はsrcディレクトリ内の設定ファイルconfig.rsに集中しています。HELIUS_PROXY(攻撃者サーバーの元のアドレスのエンコーディングは新しいエンコーディングに置き換えられました。
! [悪意のあるロボットのSolana生態学的複製:設定ファイル隠し秘密鍵送信トラップ])https://img-cdn.gateio.im/social/moments-18e2e53ca3a5e4a8aa697fefefefe2d3dc09(
! [悪意のあるボットのSolana生態学的複製:設定ファイルの隠し秘密鍵トラップ])https://img-cdn.gateio.im/webp-social/moments-1b9cc836d53854710f7ef3b8406e63ad.webp(
! [悪意のあるボットのSolana生態学的複製:設定ファイル隠し秘密鍵トラップ])https://img-cdn.gateio.im/webp-social/moments-64fa1620b6e02f9f0babadd4ae8038be.webp(
! [Solanaエコシステムは悪意のあるボットを再現します:設定ファイルの隠し秘密鍵トラップ])https://img-cdn.gateio.im/webp-social/moments-52dfae255e511bbb7a9813af7340c52e.webp(
! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵送信トラップ])https://img-cdn.gateio.im/webp-social/moments-453d878924f97e2f24033e4d40f0a24c.webp(
! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルに隠された秘密鍵トラップ])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵トラップ])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
![ソラナエコシステムに再び悪意のあるボットが現れる:プロフィールに隠された秘密鍵の外伝トラップ])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(
![ソラナエコシステムに再び悪意のあるボットが出現:プロファイルに秘密鍵外伝の罠が隠されている])https://img-cdn.gateio.im/webp-social/moments-64fca774c385631399844f160f2f10f6.webp(
! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルに隠された秘密鍵トラップ])https://img-cdn.gateio.im/webp-social/moments-7f864266a4358a6c8e9a79f81724e28b.webp(
! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵送信トラップ])https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp(
! [悪意のあるボットのSolana生態学的複製:構成ファイルに隠された秘密鍵トラップ])https://img-cdn.gateio.im/webp-social/moments-72fa652d772e8b9e2cf92ebb70beb665.webp(
! [Solana悪意のあるロボットの生態学的複製:設定ファイル隠し秘密鍵送信トラップ])https://img-cdn.gateio.im/webp-social/moments-cfefb15e6201f47f30b9dc4db76d81d3.webp(
! [Solanaエコシステムは悪意のあるボットを再現します:設定ファイルの隠し秘密鍵トラップ])https://img-cdn.gateio.im/webp-social/moments-57ba4a644ebef290c283580a2167824f.webp(
![ソラナエコシステムで再び悪意のあるボットが出現:プロファイルに私鍵外伝の罠が隠されている])https://img-cdn.gateio.im/webp-social/moments-2be2dd9eda6128199be4f95aa1cde0a7.webp(
) 動的解析
研究チームは、テスト用のソラナの公開鍵と秘密鍵のペアを生成するためにPythonスクリプトを作成し、POSTリクエストを受信できるHTTPサーバーを構築しました。テストサーバーのアドレスエンコーディングを元の攻撃者が設定した悪意のあるサーバーのアドレスエンコーディングに置き換え、.envファイル内のPRIVATE_KEYをテスト秘密鍵に置き換えました。
悪意のコードを起動した後、テストサーバーは悪意のあるプロジェクトから送信されたJSONデータを成功裏に受信しました。その中にはPRIVATE_KEY###秘密鍵(の情報が含まれています。
! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵送信トラップ])https://img-cdn.gateio.im/webp-social/moments-d37c144e4d0ea21d3d498ad94e543163.webp(
! [Solanaエコシステムは悪意のあるロボットを再現します:構成ファイルの隠し秘密鍵送信トラップ])https://img-cdn.gateio.im/webp-social/moments-68ecbf61d12fe93ff3064dd2e33b0a8c.webp(
! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵送信トラップ])https://img-cdn.gateio.im/webp-social/moments-6af3aa6c3c070effb3a6d1d986126ea3.webp(
![ソラナエコシステムに再現された悪意のあるボット:設定ファイルに私鍵外伝の罠が隠されている])https://img-cdn.gateio.im/webp-social/moments-a0148c7998bea12a4bcd48595652589a.webp(
侵入インジケータ )IoCs(
さらに、類似の手法を使用した複数のGitHubリポジトリが発見されました。
! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルに隠された秘密鍵トラップ])https://img-cdn.gateio.im/webp-social/moments-9869ded8451159c388daf8f18fab1522.webp(
まとめ
この攻撃手法は、合法的なオープンソースプロジェクトに偽装し、ユーザーに悪意のあるコードをダウンロードして実行させることで成り立っています。プロジェクトは、ローカルの.envファイルに含まれる敏感情報を読み取り、盗まれた秘密鍵を攻撃者が制御するサーバーに送信します。
開発者は、特にウォレットや秘密鍵の操作に関わる場合、出所不明のGitHubプロジェクトに対して警戒を維持することをお勧めします。実行またはデバッグする必要がある場合は、独立した敏感データのない環境で行い、出所不明のプログラムやコマンドの実行を避けるべきです。