В экосистеме Solana вновь появились злонамеренные боты: файл конфигурации скрывает риск утечки закрытого ключа
Недавно некоторые пользователи стали жертвами кражи криптоактивов из-за использования открытого проекта под названием audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. Команда по безопасности провела глубокий анализ этого инцидента.
Анализ процесса
Статический анализ
С помощью статического анализа было обнаружено подозрительное кодовое место в конфигурационном файле /src/common/config.rs, в основном сосредоточенное внутри метода create_coingecko_proxy(). Этот метод сначала вызывает import_wallet() для получения закрытого ключа, а затем декодирует вредоносные URL-адреса.
Декодированный реальный адрес:
Вредоносный код преобразует полученную информацию о закрытом ключе в строку Base58, формирует JSON-тело запроса и отправляет его на сервер, указанный в вышеупомянутом URL, с помощью POST-запроса.
Метод create_coingecko_proxy() вызывается при запуске приложения, находится на этапе инициализации конфигурационного файла метода main() в файле main.rs.
Проект недавно был обновлен на GitHub, основные изменения сосредоточены в конфигурационном файле config.rs в каталоге src. Исходный адрес сервера злоумышленника HELIUS_PROXY( был заменен на новое кодирование.
![Появление злонамеренных Ботов в экосистеме Solana: в конфигурационном файле скрыта ловушка для утечки Закрытого ключа])https://img-cdn.gateio.im/webp-social/moments-18e2e53ca3a5e4a8aa697fefe2d3dc09.webp(
![Solana экосистема вновь столкнулась с вредоносными ботами: в профиле скрыт ловушка для передачи закрытого ключа])https://img-cdn.gateio.im/webp-social/moments-1b9cc836d53854710f7ef3b8406e63ad.webp(
![Экосистема Solana снова сталкивается с вредоносными Ботами: в конфигурационном файле скрыта ловушка для утечки Закрытого ключа])https://img-cdn.gateio.im/webp-social/moments-64fa1620b6e02f9f0babadd4ae8038be.webp(
![Solana экосистема снова сталкивается с вредоносными ботами: в конфиге спрятан ловушка для передачи закрытого ключа])https://img-cdn.gateio.im/webp-social/moments-52dfae255e511bbb7a9813af7340c52e.webp(
![Solana экосистема вновь столкнулась с вредоносными ботами: в конфигурационном файле скрыта ловушка для утечки закрытого ключа])https://img-cdn.gateio.im/webp-social/moments-453d878924f97e2f24033e4d40f0a24c.webp(
![Появление злонамеренных ботов в экосистеме Solana: конфигурационный файл скрывает ловушку для утечки закрытого ключа])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
![Solana экосистема снова сталкивается с вредоносными Ботами: в конфигурационном файле скрыта ловушка для утечки Закрытого ключа])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
![Возрождение злонамеренных ботов в экосистеме Solana: файл конфигурации скрывает ловушку для утечки закрытого ключа])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(
![В экосистеме Solana снова появились злонамеренные боты: в конфигурационном файле скрыт陷阱 для утечки закрытого ключа])https://img-cdn.gateio.im/webp-social/moments-64fca774c385631399844f160f2f10f6.webp(
![Solana экосистема снова столкнулась с вредоносными ботами: конфигурационный файл скрывает ловушку для утечки закрытого ключа])https://img-cdn.gateio.im/webp-social/moments-7f864266a4358a6c8e9a79f81724e28b.webp(
![Solana экосистема вновь столкнулась с вредоносными ботами: профиль скрывает ловушку для утечки закрытого ключа])https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp(
![В экосистеме Solana вновь обнаружены вредоносные Боты: в профиле скрыта ловушка для утечки Закрытого ключа])https://img-cdn.gateio.im/webp-social/moments-72fa652d772e8b9e2cf92ebb70beb665.webp(
![Solana экосистема вновь под атакой злонамеренных Ботов: в профиле скрыт ловушка для утечки Закрытого ключа])https://img-cdn.gateio.im/webp-social/moments-cfefb15e6201f47f30b9dc4db76d81d3.webp(
![Solana экосистема снова сталкивается с вредоносными Ботами: файл конфигурации скрывает ловушку для утечки Закрытого ключа])https://img-cdn.gateio.im/webp-social/moments-57ba4a644ebef290c283580a2167824f.webp(
![Солана экосистема снова сталкивается с вредоносными ботами: конфигурационный файл скрывает ловушку для утечки закрытого ключа])https://img-cdn.gateio.im/webp-social/moments-2be2dd9eda6128199be4f95aa1cde0a7.webp(
) Динамический анализ
Исследовательская команда написала скрипт на Python для генерации тестовой пары открытого и закрытого ключей Solana и развернула HTTP-сервер, способный принимать POST-запросы. Закодированный адрес тестового сервера заменяет закодированный адрес злонамеренного сервера, установленного первоначальным злоумышленником, а в файле .env закрытый ключ заменяется на тестовый закрытый ключ.
После запуска вредоносного кода тестовый сервер успешно получил JSON-данные, отправленные вредоносным проектом, содержащие Закрытый ключ### информацию.
Показатели вторжения(IoCs)
IP: 103.35.189.28
Доменное имя: storebackend-qpq3.onrender.com
Злой склад:
Кроме того, обнаружено несколько репозиториев GitHub, использующих аналогичные методы.
Итоги
Этот метод атаки маскируется под законные открытые проекты, заставляя пользователей загружать и выполнять вредоносный код. Проект будет считывать конфиденциальную информацию из локального файла .env и передавать украденный Закрытый ключ на сервер, контролируемый злоумышленником.
Рекомендуется разработчикам и пользователям быть осторожными с проектами на GitHub, источник которых неизвестен, особенно когда речь идет о кошельках или операциях с Закрытым ключом. Если необходимо выполнить или отладить, следует делать это в изолированной среде без конфиденциальных данных, избегая выполнения программ и команд из неизвестных источников.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
9 Лайков
Награда
9
8
Репост
Поделиться
комментарий
0/400
MEV_Whisperer
· 1ч назад
Снова попали в руки Ботов? Ключевые слова, скопированные у бота, все еще небезопасны.
Посмотреть ОригиналОтветить0
LiquidationWizard
· 3ч назад
Хе-хе, налог на IQ снова разыгрывайте людей как лохов.
Посмотреть ОригиналОтветить0
WalletWhisperer
· 19ч назад
Снова вижу мошенничество с Закрытым ключом sigh
Посмотреть ОригиналОтветить0
ReverseFOMOguy
· 08-10 12:38
Блокчейн неудачники死的好惨
Посмотреть ОригиналОтветить0
TokenDustCollector
· 08-10 12:29
Блокчейн снова выпустил финансового убийцу
Посмотреть ОригиналОтветить0
LiquidityOracle
· 08-10 12:26
Уже целую вечность снова утечка закрытого ключа, когда же это закончится?
Посмотреть ОригиналОтветить0
NoodlesOrTokens
· 08-10 12:25
Ужасно, когда крадут – еще один жертва лежит.
Посмотреть ОригиналОтветить0
BuyHighSellLow
· 08-10 12:15
Снова начинается цирк, который будет играть для лохов.
В экосистеме Solana появились вредоносные боты, риск утечки закрытого ключа снова возрос.
В экосистеме Solana вновь появились злонамеренные боты: файл конфигурации скрывает риск утечки закрытого ключа
Недавно некоторые пользователи стали жертвами кражи криптоактивов из-за использования открытого проекта под названием audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot. Команда по безопасности провела глубокий анализ этого инцидента.
Анализ процесса
Статический анализ
С помощью статического анализа было обнаружено подозрительное кодовое место в конфигурационном файле /src/common/config.rs, в основном сосредоточенное внутри метода create_coingecko_proxy(). Этот метод сначала вызывает import_wallet() для получения закрытого ключа, а затем декодирует вредоносные URL-адреса.
Декодированный реальный адрес:
Вредоносный код преобразует полученную информацию о закрытом ключе в строку Base58, формирует JSON-тело запроса и отправляет его на сервер, указанный в вышеупомянутом URL, с помощью POST-запроса.
Метод create_coingecko_proxy() вызывается при запуске приложения, находится на этапе инициализации конфигурационного файла метода main() в файле main.rs.
Проект недавно был обновлен на GitHub, основные изменения сосредоточены в конфигурационном файле config.rs в каталоге src. Исходный адрес сервера злоумышленника HELIUS_PROXY( был заменен на новое кодирование.
![Появление злонамеренных Ботов в экосистеме Solana: в конфигурационном файле скрыта ловушка для утечки Закрытого ключа])https://img-cdn.gateio.im/webp-social/moments-18e2e53ca3a5e4a8aa697fefe2d3dc09.webp(
![Solana экосистема вновь столкнулась с вредоносными ботами: в профиле скрыт ловушка для передачи закрытого ключа])https://img-cdn.gateio.im/webp-social/moments-1b9cc836d53854710f7ef3b8406e63ad.webp(
![Экосистема Solana снова сталкивается с вредоносными Ботами: в конфигурационном файле скрыта ловушка для утечки Закрытого ключа])https://img-cdn.gateio.im/webp-social/moments-64fa1620b6e02f9f0babadd4ae8038be.webp(
![Solana экосистема снова сталкивается с вредоносными ботами: в конфиге спрятан ловушка для передачи закрытого ключа])https://img-cdn.gateio.im/webp-social/moments-52dfae255e511bbb7a9813af7340c52e.webp(
![Solana экосистема вновь столкнулась с вредоносными ботами: в конфигурационном файле скрыта ловушка для утечки закрытого ключа])https://img-cdn.gateio.im/webp-social/moments-453d878924f97e2f24033e4d40f0a24c.webp(
![Появление злонамеренных ботов в экосистеме Solana: конфигурационный файл скрывает ловушку для утечки закрытого ключа])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
![Solana экосистема снова сталкивается с вредоносными Ботами: в конфигурационном файле скрыта ловушка для утечки Закрытого ключа])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
![Возрождение злонамеренных ботов в экосистеме Solana: файл конфигурации скрывает ловушку для утечки закрытого ключа])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(
![В экосистеме Solana снова появились злонамеренные боты: в конфигурационном файле скрыт陷阱 для утечки закрытого ключа])https://img-cdn.gateio.im/webp-social/moments-64fca774c385631399844f160f2f10f6.webp(
![Solana экосистема снова столкнулась с вредоносными ботами: конфигурационный файл скрывает ловушку для утечки закрытого ключа])https://img-cdn.gateio.im/webp-social/moments-7f864266a4358a6c8e9a79f81724e28b.webp(
![Solana экосистема вновь столкнулась с вредоносными ботами: профиль скрывает ловушку для утечки закрытого ключа])https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp(
![В экосистеме Solana вновь обнаружены вредоносные Боты: в профиле скрыта ловушка для утечки Закрытого ключа])https://img-cdn.gateio.im/webp-social/moments-72fa652d772e8b9e2cf92ebb70beb665.webp(
![Solana экосистема вновь под атакой злонамеренных Ботов: в профиле скрыт ловушка для утечки Закрытого ключа])https://img-cdn.gateio.im/webp-social/moments-cfefb15e6201f47f30b9dc4db76d81d3.webp(
![Solana экосистема снова сталкивается с вредоносными Ботами: файл конфигурации скрывает ловушку для утечки Закрытого ключа])https://img-cdn.gateio.im/webp-social/moments-57ba4a644ebef290c283580a2167824f.webp(
![Солана экосистема снова сталкивается с вредоносными ботами: конфигурационный файл скрывает ловушку для утечки закрытого ключа])https://img-cdn.gateio.im/webp-social/moments-2be2dd9eda6128199be4f95aa1cde0a7.webp(
) Динамический анализ
Исследовательская команда написала скрипт на Python для генерации тестовой пары открытого и закрытого ключей Solana и развернула HTTP-сервер, способный принимать POST-запросы. Закодированный адрес тестового сервера заменяет закодированный адрес злонамеренного сервера, установленного первоначальным злоумышленником, а в файле .env закрытый ключ заменяется на тестовый закрытый ключ.
После запуска вредоносного кода тестовый сервер успешно получил JSON-данные, отправленные вредоносным проектом, содержащие Закрытый ключ### информацию.
Показатели вторжения(IoCs)
Кроме того, обнаружено несколько репозиториев GitHub, использующих аналогичные методы.
Итоги
Этот метод атаки маскируется под законные открытые проекты, заставляя пользователей загружать и выполнять вредоносный код. Проект будет считывать конфиденциальную информацию из локального файла .env и передавать украденный Закрытый ключ на сервер, контролируемый злоумышленником.
Рекомендуется разработчикам и пользователям быть осторожными с проектами на GitHub, источник которых неизвестен, особенно когда речь идет о кошельках или операциях с Закрытым ключом. Если необходимо выполнить или отладить, следует делать это в изолированной среде без конфиденциальных данных, избегая выполнения программ и команд из неизвестных источников.