Bot kradnie kryptowaluty użytkowników

Fałszywe boty handlowe na GitHub wykradają kryptowaluty użytkowników

  Kryptowaluty   Lipiec 4, 2025   0  Dodaj do listy lektur
Bot kradnie kryptowaluty użytkowników

Firma cyberbezpieczeństwa SlowMist ostrzega przed nową metodą kradzieży kryptowalut, która wykorzystuje popularne repozytorium GitHub do dystrybucji złośliwego oprogramowania. Oszuści podszywają się pod twórców legalnch narzędzi handlowych, by wykraść dane dostępu do portfeli cyfrowych.

Link promocyjny BingX Promocja BingX
Link promocyjny BingX Promocja BingX

Jak działało oszustwo

Wszystko zaczęło się od zgłoszenia użytkownika, który w czwartek odkrył, że jego środki zostały skradzione. Śledztwo wykazało, że przestępcy utworzyli fałszywe repozytorium o nazwie "solana-pumpfun-bot", które miało naśladować prawdziwy bot handlowy dla kryptowaluty Solana.

Projekt wyglądał wiarygodnie - miał dużą liczbę gwiazdek i forków, co zwykle świadczy o popularności wśród deweloperów. Jednak analiza kodu wykazała niepokojące anomalie. Wszystkie zmiany zostały wprowadzone w ciągu zaledwie trzech tygodni, co nie jest typowe dla rozwijanych długoterminowo projektów.

Ukryty malware w pakiecie NPM

Kluczem do oszustwa okazał się pakiet "crypto-layout-utils", który był wymagany do działania bota. Problem w tym, że ten pakiet został już wcześniej usunięty z oficjalnego rejestru NPM ze względu na podejrzane działanie.

Cyberprzestępcy rozwiązali ten problem, udostępniając pakiet przez własne repozytorium GitHub. Kod był mocno zaciemniony przy użyciu narzędzia jsjiami.com.v7, co utrudniało jego analizę. Po odkodowaniu okazało się, że program skanuje lokalny komputer w poszukiwaniu plików z kluczami prywatnymi do portfeli kryptowalutowych, a następnie przesyła je na serwer kontrolowany przez przestępców.

Skoordynowana akcja

Dochodzenie ujawniło, że to nie był izolowany przypadek. Atakujący kontrolowali całą sieć kont GitHub, które tworzyły fałszywe wersje popularnych projektów. W ten sposób sztucznie zawyżali liczbę forków i gwiazdek, budując pozory wiarygodności.

Część z tych projektów zawierała również inny złośliwy pakiet o nazwie "bs58-encrypt-utils-1.0.3", który został utworzony 12 czerwca. To prawdopodobnie moment, kiedy przestępcy rozpoczęli swoją kampanię.

Rosnące zagrożenie

Ten incydent wpisuje się w szerszy trend ataków na użytkowników kryptowalut. W ostatnich tygodniach podobne oszustwa dotknęły użytkowników przeglądarki Firefox poprzez fałszywe rozszerzenia portfeli, a także inne projekty hostowane na GitHub.

Eksperci ostrzegają, że tego typu ataki będą się nasilać, ponieważ coraz więcej osób korzysta z narzędzi open-source do handlu kryptowalutami. Kluczowe jest zachowanie ostrożności przy pobieraniu oprogramowania z nieznanych źródeł i regularne sprawdzanie wiarygodności projektów.

Tags