Solana生態再現惡意機器人:配置文件暗藏私鑰外傳陷阱

2025年7月初,一名用戶向安全團隊求助,稱其加密資產被盜。調查顯示,事件源於該用戶使用了GitHub上一個名爲solana-pumpfun-bot的開源項目,觸發了隱藏的盜幣行爲。

近期,又有用戶因使用類似的開源項目audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot導致資產被盜。安全團隊對此進行了深入分析。

分析過程

靜態分析

分析發現,可疑代碼位於/src/common/config.rs配置文件中,主要集中在create_coingecko_proxy()方法內。該方法首先調用import_wallet()獲取私鑰,然後對私鑰長度進行判斷:

• 若長度小於85,打印錯誤信息並陷入無限循環
• 若長度大於85,將私鑰轉換爲Keypair對象並封裝

隨後,惡意代碼解碼出攻擊者服務器地址,構造JSON請求體將私鑰發送至該地址。同時,該方法還包含獲取價格等正常功能來掩飾其惡意行爲。

create_coingecko_proxy()方法在應用啓動時被調用,位於main.rs中main()方法的配置文件初始化階段。

攻擊者服務器IP位於美國。該項目近期在GitHub上進行了更新,主要更改了config.rs中的服務器地址編碼。

動態分析

爲直觀觀察盜竊過程,我們編寫腳本生成測試密鑰對,並搭建接收POST請求的服務器。將測試服務器地址編碼替換原惡意地址,並更新.env文件中的私鑰。

啓動惡意代碼後,測試服務器成功接收到包含私鑰的JSON數據。

入侵指標

IP: 103.35.189.28

域名: storebackend-qpq3.onrender.com

惡意倉庫:

總結

攻擊者通過僞裝成合法開源項目,誘導用戶執行惡意代碼。該項目讀取本地.env文件中的敏感信息,並將盜取的私鑰傳輸至攻擊者服務器。

建議開發者與用戶對來路不明的GitHub項目保持警惕,尤其是涉及錢包或私鑰操作時。如需運行或調試,應在獨立且無敏感數據的環境中進行,避免執行來源不明的程序和命令。