根据网络安全公司SlowMist的报告，近期发现一个伪装成Solana交易机器人的虚假GitHub存储库，该存储库被用来分发隐藏的恶意软件，窃取用户的加密钱包凭证。

这个伪装成合法Solana交易机器人的GitHub存储库已曝光，报告显示其内含窃取加密货币的恶意软件。

根据SlowMist在周五发布的报告，由账号"zldp2002"托管的名为solana-pumpfun-bot的现已删除存储库模仿真正的开源工具，企图收集用户凭证。该调查是在一名用户于周四发现其资金被盗后展开的。

SlowMist提到，这个恶意GitHub存储库"拥有较高的星标和分叉数量"。其所有目录中的代码提交大约在三周前进行，存在明显的不规律性和缺乏一致性，这表明该项目并不合法。

该项目是基于Node.js构建，并依赖于一个名为crypto-layout-utils的第三方包。SlowMist进一步说明，"经过调查发现，该包已经从官方NPM注册表中删除。"

可疑的NPM包

由于这个包已无法从官方NPM注册表下载，调查人员开始质疑受害者是如何下载该包的。进一步调查显示，攻击者是通过一个单独的GitHub存储库下载该库。

在对该包进行分析后，SlowMist的研究人员发现它使用jsjiami.com.v7进行了大量的代码混淆，增加了分析的难度。经过去混淆处理后，调查人员确认这是一个恶意包，它会扫描本地文件，如果找到与钱包相关的内容或私钥，就会将这些信息上传到远程服务器。

不止一个存储库

SlowMist进一步调查发现，攻击者可能控制了一些GitHub账号。这些账号被用来将项目分叉为恶意版本，并夸大这些分叉和星标的数量，以分发恶意软件。

多个分叉存储库表现出相似的特征，其中一些版本还包含了另一个恶意包bs58-encrypt-utils-1.0.3。该包创建于6月12日，SlowMist的研究人员认为攻击者从那时开始就开始分发恶意的NPM模块和Node.js项目。

这一事件是针对加密用户的一系列软件供应链攻击中的最新一起。在最近几周，类似的攻击已经通过虚假钱包扩展来侵害Firefox用户，并利用GitHub存储库托管窃取凭证的代码。

相关推荐：加密货币中的地址投毒攻击是什么以及如何避免？