Solana ecossistema novamente apresenta Bots maliciosos: risco de transmissão de chave privada oculta
Recentemente, alguns usuários tiveram seus ativos criptográficos roubados devido ao uso de um projeto de código aberto chamado audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. A equipe de pesquisa em segurança realizou uma análise aprofundada sobre isso.
Processo de Análise
Análise estática
Através da análise estática, foi encontrado código suspeito no arquivo de configuração /src/common/config.rs, concentrando-se principalmente no método create_coingecko_proxy(). Este método primeiro chama import_wallet() para obter informações da chave privada, e depois decodifica endereços URL maliciosos.
O endereço real decodificado é:
O código malicioso converterá as informações da chave privada obtidas em uma string Base58, construirá o corpo da solicitação JSON e enviará por meio de uma solicitação POST para o servidor indicado pela URL mencionada.
método create_coingecko_proxy() é chamado na inicialização do aplicativo, localizado na fase de inicialização do arquivo de configuração do método main() em main.rs.
O projeto foi recentemente atualizado no GitHub, com as principais alterações concentradas no arquivo de configuração config.rs no diretório src. O endereço do servidor do atacante HELIUS_PROXY( foi substituído pela nova codificação.
![Aparição de Bots maliciosos no ecossistema Solana: perfil de configuração esconde armadilha de divulgação de Chave privada])https://img-cdn.gateio.im/webp-social/moments-18e2e53ca3a5e4a8aa697fefe2d3dc09.webp(
![Solana ecosistema apresenta Bots maliciosos: perfil contém armadilha de divulgação de Chave privada])https://img-cdn.gateio.im/webp-social/moments-1b9cc836d53854710f7ef3b8406e63ad.webp(
![O ecossistema Solana apresenta novamente Bots maliciosos: o perfil contém uma armadilha de divulgação da Chave privada])https://img-cdn.gateio.im/webp-social/moments-64fa1620b6e02f9f0babadd4ae8038be.webp(
![Solana ecossistema reaparece Bots maliciosos: perfil de configuração esconde armadilha de divulgação da Chave privada])https://img-cdn.gateio.im/webp-social/moments-52dfae255e511bbb7a9813af7340c52e.webp(
![Reaparecimento de Bots maliciosos no ecossistema Solana: o perfil esconde a armadilha de divulgação da Chave privada])https://img-cdn.gateio.im/webp-social/moments-453d878924f97e2f24033e4d40f0a24c.webp(
![Ecossistema Solana apresenta novamente Bots maliciosos: perfil de configuração esconde armadilha de divulgação da Chave privada])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
![Solana ecossistema reaparece Bots maliciosos: perfil de configuração esconde armadilha de transmissão de Chave privada])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
![Solana ecossistema novamente apresenta Bots maliciosos: arquivo de configuração oculta armadilha para transmissão de Chave privada])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(
![Malicious Bots reaparecem no ecossistema Solana: arquivo de configuração esconde armadilha de transmissão de Chave privada])https://img-cdn.gateio.im/webp-social/moments-64fca774c385631399844f160f2f10f6.webp(
![Ecossistema Solana novamente apresenta Bots maliciosos: perfil de configuração esconde armadilha de divulgação de Chave privada])https://img-cdn.gateio.im/webp-social/moments-7f864266a4358a6c8e9a79f81724e28b.webp(
![Malicious Bots reaparecem no ecossistema Solana: perfis escondem armadilhas de vazamento de Chave privada])https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp(
![Solana ecossistema apresenta Bots maliciosos: perfil de configuração esconde armadilha de divulgação da Chave privada])https://img-cdn.gateio.im/webp-social/moments-cfefb15e6201f47f30b9dc4db76d81d3.webp(
![Solana ecossistema apresenta Bots maliciosos: arquivo de configuração esconde armadilha de transmissão de Chave privada])https://img-cdn.gateio.im/webp-social/moments-57ba4a644ebef290c283580a2167824f.webp(
![Reaparecimento de Bots maliciosos no ecossistema Solana: perfil oculto com armadilha de exposição da Chave privada])https://img-cdn.gateio.im/webp-social/moments-2be2dd9eda6128199be4f95aa1cde0a7.webp(
) Análise dinâmica
A equipe de pesquisa escreveu um script em Python para gerar pares de chaves públicas e privadas do Solana para testes, e montou um servidor HTTP capaz de receber solicitações POST. O endereço do servidor de teste foi codificado para substituir o endereço do servidor malicioso configurado pelo atacante, e a chave privada no arquivo .env foi substituída pela chave privada de teste.
Após a ativação do código malicioso, o servidor de teste recebeu com sucesso os dados JSON enviados pelo projeto malicioso, que continham a Chave privada### informação.
Indicadores de Intrusão ( IoCs )
IP: 103.35.189.28
Domínio: storebackend-qpq3.onrender.com
Armazenamento malicioso:
Além disso, foram encontrados vários repositórios do GitHub que usam técnicas semelhantes.
Resumo
Este tipo de ataque disfarça-se como um projeto de código aberto legítimo, induzindo os utilizadores a descarregar e executar código malicioso. O projeto irá ler informações sensíveis do ficheiro .env local e transferir a chave privada roubada para um servidor controlado pelo atacante.
Recomenda-se que os desenvolvedores e usuários estejam atentos a projetos do GitHub de origem desconhecida, especialmente quando se trata de operações com carteiras ou chaves privadas. Se precisar executar ou depurar, deve fazê-lo em um ambiente isolado e sem dados sensíveis, evitando a execução de programas e comandos de origem desconhecida.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
9 Curtidas
Recompensa
9
8
Repostar
Compartilhar
Comentário
0/400
MEV_Whisperer
· 1h atrás
Já caiu nas mãos dos Bots novamente? Copiar palavras-chave de bot ainda não é seguro.
Ver originalResponder0
LiquidationWizard
· 3h atrás
呵呵 fazer as pessoas de parvas novamente
Ver originalResponder0
WalletWhisperer
· 19h atrás
Outra vez a fraude da Chave privada sigh
Ver originalResponder0
ReverseFOMOguy
· 08-10 12:38
Blockchain idiotas morrem de forma tão trágica
Ver originalResponder0
TokenDustCollector
· 08-10 12:29
Blockchain voltou a ter um assassino financeiro.
Ver originalResponder0
LiquidityOracle
· 08-10 12:26
Depois de tanto tempo, é novamente uma chave privada vazada. Quando é que isso vai acabar?
Ver originalResponder0
NoodlesOrTokens
· 08-10 12:25
Furto é realmente terrível~ mais uma vítima deitada.
Ver originalResponder0
BuyHighSellLow
· 08-10 12:15
Outra vez o circo de fazer as pessoas de parvas começou.
A ecologia Solana testemunha o surgimento de Bots, o risco de vazamento de Chave privada ressurgiu.
Solana ecossistema novamente apresenta Bots maliciosos: risco de transmissão de chave privada oculta
Recentemente, alguns usuários tiveram seus ativos criptográficos roubados devido ao uso de um projeto de código aberto chamado audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. A equipe de pesquisa em segurança realizou uma análise aprofundada sobre isso.
Processo de Análise
Análise estática
Através da análise estática, foi encontrado código suspeito no arquivo de configuração /src/common/config.rs, concentrando-se principalmente no método create_coingecko_proxy(). Este método primeiro chama import_wallet() para obter informações da chave privada, e depois decodifica endereços URL maliciosos.
O endereço real decodificado é:
O código malicioso converterá as informações da chave privada obtidas em uma string Base58, construirá o corpo da solicitação JSON e enviará por meio de uma solicitação POST para o servidor indicado pela URL mencionada.
método create_coingecko_proxy() é chamado na inicialização do aplicativo, localizado na fase de inicialização do arquivo de configuração do método main() em main.rs.
O projeto foi recentemente atualizado no GitHub, com as principais alterações concentradas no arquivo de configuração config.rs no diretório src. O endereço do servidor do atacante HELIUS_PROXY( foi substituído pela nova codificação.
![Aparição de Bots maliciosos no ecossistema Solana: perfil de configuração esconde armadilha de divulgação de Chave privada])https://img-cdn.gateio.im/webp-social/moments-18e2e53ca3a5e4a8aa697fefe2d3dc09.webp(
![Solana ecosistema apresenta Bots maliciosos: perfil contém armadilha de divulgação de Chave privada])https://img-cdn.gateio.im/webp-social/moments-1b9cc836d53854710f7ef3b8406e63ad.webp(
![O ecossistema Solana apresenta novamente Bots maliciosos: o perfil contém uma armadilha de divulgação da Chave privada])https://img-cdn.gateio.im/webp-social/moments-64fa1620b6e02f9f0babadd4ae8038be.webp(
![Solana ecossistema reaparece Bots maliciosos: perfil de configuração esconde armadilha de divulgação da Chave privada])https://img-cdn.gateio.im/webp-social/moments-52dfae255e511bbb7a9813af7340c52e.webp(
![Reaparecimento de Bots maliciosos no ecossistema Solana: o perfil esconde a armadilha de divulgação da Chave privada])https://img-cdn.gateio.im/webp-social/moments-453d878924f97e2f24033e4d40f0a24c.webp(
![Ecossistema Solana apresenta novamente Bots maliciosos: perfil de configuração esconde armadilha de divulgação da Chave privada])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
![Solana ecossistema reaparece Bots maliciosos: perfil de configuração esconde armadilha de transmissão de Chave privada])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
![Solana ecossistema novamente apresenta Bots maliciosos: arquivo de configuração oculta armadilha para transmissão de Chave privada])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(
![Malicious Bots reaparecem no ecossistema Solana: arquivo de configuração esconde armadilha de transmissão de Chave privada])https://img-cdn.gateio.im/webp-social/moments-64fca774c385631399844f160f2f10f6.webp(
![Ecossistema Solana novamente apresenta Bots maliciosos: perfil de configuração esconde armadilha de divulgação de Chave privada])https://img-cdn.gateio.im/webp-social/moments-7f864266a4358a6c8e9a79f81724e28b.webp(
![Malicious Bots reaparecem no ecossistema Solana: perfis escondem armadilhas de vazamento de Chave privada])https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp(
![Solana ecossistema novamente apresenta Bots maliciosos: perfil contém armadilha de chave privada])https://img-cdn.gateio.im/webp-social/moments-72fa652d772e8b9e2cf92ebb70beb665.webp(
![Solana ecossistema apresenta Bots maliciosos: perfil de configuração esconde armadilha de divulgação da Chave privada])https://img-cdn.gateio.im/webp-social/moments-cfefb15e6201f47f30b9dc4db76d81d3.webp(
![Solana ecossistema apresenta Bots maliciosos: arquivo de configuração esconde armadilha de transmissão de Chave privada])https://img-cdn.gateio.im/webp-social/moments-57ba4a644ebef290c283580a2167824f.webp(
![Reaparecimento de Bots maliciosos no ecossistema Solana: perfil oculto com armadilha de exposição da Chave privada])https://img-cdn.gateio.im/webp-social/moments-2be2dd9eda6128199be4f95aa1cde0a7.webp(
) Análise dinâmica
A equipe de pesquisa escreveu um script em Python para gerar pares de chaves públicas e privadas do Solana para testes, e montou um servidor HTTP capaz de receber solicitações POST. O endereço do servidor de teste foi codificado para substituir o endereço do servidor malicioso configurado pelo atacante, e a chave privada no arquivo .env foi substituída pela chave privada de teste.
Após a ativação do código malicioso, o servidor de teste recebeu com sucesso os dados JSON enviados pelo projeto malicioso, que continham a Chave privada### informação.
Indicadores de Intrusão ( IoCs )
Além disso, foram encontrados vários repositórios do GitHub que usam técnicas semelhantes.
Resumo
Este tipo de ataque disfarça-se como um projeto de código aberto legítimo, induzindo os utilizadores a descarregar e executar código malicioso. O projeto irá ler informações sensíveis do ficheiro .env local e transferir a chave privada roubada para um servidor controlado pelo atacante.
Recomenda-se que os desenvolvedores e usuários estejam atentos a projetos do GitHub de origem desconhecida, especialmente quando se trata de operações com carteiras ou chaves privadas. Se precisar executar ou depurar, deve fazê-lo em um ambiente isolado e sem dados sensíveis, evitando a execução de programas e comandos de origem desconhecida.