Solana生态再现恶意机器人:配置文件隐藏私钥外传风险

近期,有用户因使用名为audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot的开源项目,导致加密资产被盗。安全研究团队对此进行了深入分析。

分析过程

静态分析

通过静态分析,发现可疑代码位于/src/common/config.rs配置文件中,主要集中在create_coingecko_proxy()方法内。该方法首先调用import_wallet()获取私钥信息,然后对恶意URL地址进行解码。

解码后的真实地址为:

恶意代码将获取到的私钥信息转换为Base58字符串,构造JSON请求体,通过POST请求发送至上述URL所指向的服务器。

create_coingecko_proxy()方法在应用启动时被调用,位于main.rs中main()方法的配置文件初始化阶段。

该项目近期在GitHub上进行了更新,主要更改集中在src目录下的配置文件config.rs中,HELIUS_PROXY(攻击者服务器地址)的原地址编码已被替换为新的编码。

动态分析

研究团队编写了Python脚本生成测试用的Solana公私钥对,并搭建了一个能接收POST请求的HTTP服务器。将测试服务器地址编码替换原攻击者设置的恶意服务器地址编码,并将.env文件中的PRIVATE_KEY替换为测试私钥。

启动恶意代码后,测试服务器成功接收到了恶意项目发送的JSON数据,其中包含PRIVATE_KEY(私钥)信息。

入侵指标(IoCs)

• IP: 103.35.189.28
• 域名: storebackend-qpq3.onrender.com
• 恶意仓库:

此外还发现多个使用类似手法的GitHub仓库。

总结

这种攻击手法通过伪装成合法开源项目,诱导用户下载执行恶意代码。项目会读取本地.env文件中的敏感信息,将盗取的私钥传输至攻击者控制的服务器。

建议开发者与用户对来源不明的GitHub项目保持警惕,特别是涉及钱包或私钥操作时。如需运行或调试,应在独立且无敏感数据的环境中进行,避免执行来源不明的程序和命令。