В экосистеме Solana вновь появляются злонамеренные боты: конфигурационный файл скрывает ловушку для утечки закрытого ключа
В начале июля 2025 года пользователь обратился за помощью к команде безопасности с просьбой проанализировать причины кражи его криптоактивов. В ходе расследования было установлено, что инцидент произошел из-за того, что пользователь использовал проект с открытым исходным кодом, размещенный на GitHub, что вызвало скрытое похищение монет.
Недавно еще один пользователь стал жертвой кражи активов из-за использования аналогичного проекта с открытым исходным кодом и обратился в команду безопасности. В связи с этим команда провела более глубокий анализ данного метода атаки.
Процесс анализа
Статический анализ
С помощью статического анализа было обнаружено подозрительное код в файле конфигурации /src/common/config.rs, в основном сосредоточенное в методе create_coingecko_proxy(). Этот метод сначала вызывает import_wallet(), а затем вызывает import_env_var() для получения Закрытый ключ.
Метод import_env_var() используется для получения конфигурационной информации об переменных окружения из файла .env. Если переменная окружения отсутствует, происходит переход в ветвь обработки ошибок и продолжается расход ресурсов.
Чувствительная информация, такая как ЗАКРЫТЫЙ КЛЮЧ, хранится в файле .env. Метод import_wallet() для получения закрытого ключа будет проверять его длину:
Если меньше 85, напечатать сообщение об ошибке и продолжать потреблять ресурсы
Если больше 85, преобразуйте строку Base58 в объект Keypair, содержащий Закрытый ключ.
Затем вредоносный код инкапсулирует информацию о Закрытом ключе для поддержки многопоточного обмена.
метод create_coingecko_proxy() после получения Закрытый ключ выполняет декодирование злонамеренных URL-адресов. Декодированный реальный адрес:
Вредоносный код преобразует закрытый ключ в строку Base58, формирует тело JSON-запроса, отправляет его по указанному URL с помощью POST-запроса, игнорируя результаты ответа.
Кроме того, этот метод также включает в себя получение цены и другие нормальные функции, которые используются для сокрытия злонамеренных действий. Название метода также замаскировано и является запутывающим.
метод create_coingecko_proxy() вызывается при запуске приложения, находится на этапе инициализации конфигурационного файла метода main() в main.rs.
Согласно анализу, IP-адрес этого сервера находится в США.
Проект был обновлен на GitHub 17 июля 2025 года, основные изменения сосредоточены в файле конфигурации config.rs в директории src. Кодировка адреса сервера атакующего была заменена на новую.
Динамический анализ
Для наглядного наблюдения за процессом кражи, напишите скрипт на Python для генерации тестовой пары публичного и закрытого ключей Solana, а также разверните HTTP-сервер на сервере для приема POST-запросов.
Замените закодированный адрес тестового сервера на закодированный адрес злонамеренного сервера, установленного атакующим, и замените закрытый ключ в файле .env на тестовый закрытый ключ.
После запуска вредоносного кода тестовый сервер успешно получил JSON-данные, отправленные вредоносным проектом, которые содержат Закрытый ключ.
Входные показатели ( IoCs )
IP-адрес:103.35.189.28
Доменное имя: storebackend-qpq3.onrender.com
Зловредный репозиторий:
Другие репозитории с аналогичными методами реализации:
Резюме
В этой атаке злоумышленники маскируются под легитимные открытые проекты, чтобы заставить пользователей скачать и выполнить вредоносный код. Этот проект считывает чувствительную информацию из локального файла .env и передает украденный Закрытый ключ на сервер, контролируемый злоумышленниками. Такие атаки обычно сочетаются с методами социальной инженерии, и пользователи могут легко попасть в ловушку при малейшей неосторожности.
Рекомендуется разработчикам и пользователям проявлять крайнюю бдительность по отношению к незнакомым проектам на GitHub, особенно когда дело касается операций с кошельками или закрытыми ключами. Если необходимо запустить или отладить, рекомендуется делать это в изолированной среде, не содержащей конфиденциальных данных, чтобы избежать выполнения злонамеренных программ и команд из ненадежных источников.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
11 Лайков
Награда
11
5
Поделиться
комментарий
0/400
HallucinationGrower
· 22ч назад
Снова возникли проблемы, поэтому я всегда не использую sol
Посмотреть ОригиналОтветить0
GasWaster
· 22ч назад
Снова черный мой большой sol?
Посмотреть ОригиналОтветить0
GasFeeNightmare
· 22ч назад
Еще кого хотите разыграть людей как лохов, вы всех уже разыграли.
Посмотреть ОригиналОтветить0
BlockTalk
· 22ч назад
Еще одна группа неудачников будет разыграна как лохи
Посмотреть ОригиналОтветить0
PrivateKeyParanoia
· 22ч назад
На самом деле, это действительно трудно предотвратить.
В экосистеме Solana вновь обнаружен вредоносный код: проект на GitHub скрывает ловушку для кражи Закрытого ключа.
В экосистеме Solana вновь появляются злонамеренные боты: конфигурационный файл скрывает ловушку для утечки закрытого ключа
В начале июля 2025 года пользователь обратился за помощью к команде безопасности с просьбой проанализировать причины кражи его криптоактивов. В ходе расследования было установлено, что инцидент произошел из-за того, что пользователь использовал проект с открытым исходным кодом, размещенный на GitHub, что вызвало скрытое похищение монет.
Недавно еще один пользователь стал жертвой кражи активов из-за использования аналогичного проекта с открытым исходным кодом и обратился в команду безопасности. В связи с этим команда провела более глубокий анализ данного метода атаки.
Процесс анализа
Статический анализ
С помощью статического анализа было обнаружено подозрительное код в файле конфигурации /src/common/config.rs, в основном сосредоточенное в методе create_coingecko_proxy(). Этот метод сначала вызывает import_wallet(), а затем вызывает import_env_var() для получения Закрытый ключ.
Метод import_env_var() используется для получения конфигурационной информации об переменных окружения из файла .env. Если переменная окружения отсутствует, происходит переход в ветвь обработки ошибок и продолжается расход ресурсов.
Чувствительная информация, такая как ЗАКРЫТЫЙ КЛЮЧ, хранится в файле .env. Метод import_wallet() для получения закрытого ключа будет проверять его длину:
Затем вредоносный код инкапсулирует информацию о Закрытом ключе для поддержки многопоточного обмена.
метод create_coingecko_proxy() после получения Закрытый ключ выполняет декодирование злонамеренных URL-адресов. Декодированный реальный адрес:
Вредоносный код преобразует закрытый ключ в строку Base58, формирует тело JSON-запроса, отправляет его по указанному URL с помощью POST-запроса, игнорируя результаты ответа.
Кроме того, этот метод также включает в себя получение цены и другие нормальные функции, которые используются для сокрытия злонамеренных действий. Название метода также замаскировано и является запутывающим.
метод create_coingecko_proxy() вызывается при запуске приложения, находится на этапе инициализации конфигурационного файла метода main() в main.rs.
Согласно анализу, IP-адрес этого сервера находится в США.
Проект был обновлен на GitHub 17 июля 2025 года, основные изменения сосредоточены в файле конфигурации config.rs в директории src. Кодировка адреса сервера атакующего была заменена на новую.
Динамический анализ
Для наглядного наблюдения за процессом кражи, напишите скрипт на Python для генерации тестовой пары публичного и закрытого ключей Solana, а также разверните HTTP-сервер на сервере для приема POST-запросов.
Замените закодированный адрес тестового сервера на закодированный адрес злонамеренного сервера, установленного атакующим, и замените закрытый ключ в файле .env на тестовый закрытый ключ.
После запуска вредоносного кода тестовый сервер успешно получил JSON-данные, отправленные вредоносным проектом, которые содержат Закрытый ключ.
Входные показатели ( IoCs )
IP-адрес:103.35.189.28
Доменное имя: storebackend-qpq3.onrender.com
Зловредный репозиторий:
Другие репозитории с аналогичными методами реализации:
Резюме
В этой атаке злоумышленники маскируются под легитимные открытые проекты, чтобы заставить пользователей скачать и выполнить вредоносный код. Этот проект считывает чувствительную информацию из локального файла .env и передает украденный Закрытый ключ на сервер, контролируемый злоумышленниками. Такие атаки обычно сочетаются с методами социальной инженерии, и пользователи могут легко попасть в ловушку при малейшей неосторожности.
Рекомендуется разработчикам и пользователям проявлять крайнюю бдительность по отношению к незнакомым проектам на GitHub, особенно когда дело касается операций с кошельками или закрытыми ключами. Если необходимо запустить или отладить, рекомендуется делать это в изолированной среде, не содержащей конфиденциальных данных, чтобы избежать выполнения злонамеренных программ и команд из ненадежных источников.