Aparecen nuevamente bots maliciosos en el ecosistema de Solana: el perfil oculta trampas de filtración de la llave privada
Recientemente, un usuario perdió activos criptográficos debido al uso de un proyecto de código abierto llamado pumpfun-pumpswap-sniper-copy-trading-bot. El equipo de seguridad llevó a cabo un análisis profundo al respecto.
Análisis estático
El análisis revela que el código sospechoso se encuentra en el archivo de configuración /src/common/config.rs, concentrándose principalmente en el método create_coingecko_proxy(). Este método primero llama a import_wallet() para obtener la Llave privada, y luego decodifica las direcciones URL maliciosas.
La dirección real después de la decodificación es:
El código malicioso luego construye el cuerpo de la solicitud JSON, encapsulando la información de la llave privada en él, y la envía a la URL mencionada a través de una solicitud POST. Independientemente de qué resultado devuelva el servidor, el código malicioso seguirá ejecutándose para evitar que el usuario se dé cuenta.
el método create_coingecko_proxy() se llama al iniciar la aplicación, ubicado en la fase de inicialización del archivo de configuración del método main() en main.rs.
El proyecto fue actualizado recientemente en GitHub el 17 de julio de 202012(, con cambios principales concentrados en el archivo de configuración config.rs en el directorio src. La dirección del servidor del atacante HELIUS_PROXY) ha sido reemplazada por una nueva codificación.
Análisis dinámico
Para observar de manera intuitiva el proceso de robo del código malicioso, los investigadores escribieron un script en Python para generar pares de llaves públicas y privadas de Solana para pruebas, y establecieron un servidor HTTP que recibe solicitudes POST.
Reemplace la codificación de la dirección del servidor de prueba con la codificación de la dirección del servidor malicioso establecido por el atacante, y reemplace la Llave privada en el archivo .env con la Llave privada de prueba.
Después de activar el código malicioso, el servidor de pruebas recibió con éxito los datos JSON enviados por el proyecto malicioso, que contenían la información de Llave privada(.
![Solana ecosistema vuelve a presentar bots maliciosos: el perfil esconde trampas para la filtración de la llave privada])https://img-cdn.gateio.im/webp-social/moments-64fca774c385631399844f160f2f10f6.webp(
![Solana ecosistema vuelve a presentar Bots maliciosos: el perfil oculta trampas de fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-7f864266a4358a6c8e9a79f81724e28b.webp(
![Reaparición de Bots maliciosos en el ecosistema de Solana: el perfil oculta trampas para la filtración de la Llave privada])https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp(
![Reaparición de Bots maliciosos en el ecosistema Solana: perfil de configuración oculta trampa de fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-72fa652d772e8b9e2cf92ebb70beb665.webp(
![Solana ecosistema vuelve a ver Bots maliciosos: el perfil oculta trampas de fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-cfefb15e6201f47f30b9dc4db76d81d3.webp(
![Solana ecosistema vuelve a ver Bots maliciosos: el perfil oculta trampas para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-57ba4a644ebef290c283580a2167824f.webp(
![Reaparición de Bots maliciosos en el ecosistema de Solana: el perfil oculta trampas de divulgación de Llave privada])https://img-cdn.gateio.im/webp-social/moments-2be2dd9eda6128199be4f95aa1cde0a7.webp(
![Solana ecosistema vuelve a sufrir ataques de Bots: el archivo de configuración oculta trampas para el envío de Llave privada])https://img-cdn.gateio.im/webp-social/moments-d37c144e4d0ea21d3d498ad94e543163.webp(
![Solana ecosistema vuelve a presentar Bots maliciosos: el perfil ocultaba una trampa para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-68ecbf61d12fe93ff3064dd2e33b0a8c.webp(
Otros repositorios con métodos de implementación similares también están listados.
![Solana ecosistema vuelve a mostrar Bots maliciosos: el perfil esconde la trampa de la fuga de la Llave privada])https://img-cdn.gateio.im/webp-social/moments-6af3aa6c3c070effb3a6d1d986126ea3.webp(
![Reaparición de Bots maliciosos en el ecosistema de Solana: el perfil oculta trampas para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-a0148c7998bea12a4bcd48595652589a.webp(
Resumen
Los atacantes se disfrazan de proyectos de código abierto legítimos, induciendo a los usuarios a descargar y ejecutar este código malicioso. El proyecto leerá información sensible del archivo .env local y transferirá la llave privada robada a un servidor controlado por los atacantes.
Se recomienda a los desarrolladores y a los usuarios que mantengan una alta vigilancia sobre los proyectos de GitHub de origen desconocido, especialmente cuando se trata de operaciones con billeteras o Llave privada. Si es necesario ejecutar o depurar, se sugiere hacerlo en un entorno independiente y sin datos sensibles, para evitar la ejecución de programas y comandos maliciosos de origen desconocido.
![Reaparición de Bots maliciosos en el ecosistema de Solana: trampa de fuga de Llave privada oculta en el perfil])https://img-cdn.gateio.im/webp-social/moments-9869ded8451159c388daf8f18fab1522.webp(
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
9 me gusta
Recompensa
9
7
Compartir
Comentar
0/400
NFTDreamer
· hace18h
Otra vez vienen a engañar a los tontos, la trampa ya es muy conocida.
Ver originalesResponder0
LiquidationWatcher
· hace18h
No me imaginaba que sol escondía este tipo de trampa.
Ver originalesResponder0
AirdropHunterWang
· hace18h
La gente tonta tiene que caer en trampas. Si te atrapan con la llave privada, no hay escapatoria.
Ver originalesResponder0
BlockTalk
· hace18h
Otra vez han tomado a la gente por tonta con solana...
Ver originalesResponder0
EthMaximalist
· hace18h
Tsk tsk, el sol cadena es robado a diario.
Ver originalesResponder0
GovernancePretender
· hace18h
Recordatorio diario, otro agujero, cuídense inversores minoristas.
El ecosistema de Solana vuelve a presentar Bots maliciosos, un proyecto de Código abierto oculta trampas para robar Llave privada.
Aparecen nuevamente bots maliciosos en el ecosistema de Solana: el perfil oculta trampas de filtración de la llave privada
Recientemente, un usuario perdió activos criptográficos debido al uso de un proyecto de código abierto llamado pumpfun-pumpswap-sniper-copy-trading-bot. El equipo de seguridad llevó a cabo un análisis profundo al respecto.
Análisis estático
El análisis revela que el código sospechoso se encuentra en el archivo de configuración /src/common/config.rs, concentrándose principalmente en el método create_coingecko_proxy(). Este método primero llama a import_wallet() para obtener la Llave privada, y luego decodifica las direcciones URL maliciosas.
La dirección real después de la decodificación es:
El código malicioso luego construye el cuerpo de la solicitud JSON, encapsulando la información de la llave privada en él, y la envía a la URL mencionada a través de una solicitud POST. Independientemente de qué resultado devuelva el servidor, el código malicioso seguirá ejecutándose para evitar que el usuario se dé cuenta.
el método create_coingecko_proxy() se llama al iniciar la aplicación, ubicado en la fase de inicialización del archivo de configuración del método main() en main.rs.
El proyecto fue actualizado recientemente en GitHub el 17 de julio de 202012(, con cambios principales concentrados en el archivo de configuración config.rs en el directorio src. La dirección del servidor del atacante HELIUS_PROXY) ha sido reemplazada por una nueva codificación.
Análisis dinámico
Para observar de manera intuitiva el proceso de robo del código malicioso, los investigadores escribieron un script en Python para generar pares de llaves públicas y privadas de Solana para pruebas, y establecieron un servidor HTTP que recibe solicitudes POST.
Reemplace la codificación de la dirección del servidor de prueba con la codificación de la dirección del servidor malicioso establecido por el atacante, y reemplace la Llave privada en el archivo .env con la Llave privada de prueba.
Después de activar el código malicioso, el servidor de pruebas recibió con éxito los datos JSON enviados por el proyecto malicioso, que contenían la información de Llave privada(.
![Solana ecosistema vuelve a presentar bots maliciosos: el perfil esconde trampas para la filtración de la llave privada])https://img-cdn.gateio.im/webp-social/moments-64fca774c385631399844f160f2f10f6.webp(
![Solana ecosistema vuelve a presentar Bots maliciosos: el perfil oculta trampas de fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-7f864266a4358a6c8e9a79f81724e28b.webp(
![Reaparición de Bots maliciosos en el ecosistema de Solana: el perfil oculta trampas para la filtración de la Llave privada])https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp(
![Reaparición de Bots maliciosos en el ecosistema Solana: perfil de configuración oculta trampa de fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-72fa652d772e8b9e2cf92ebb70beb665.webp(
![Solana ecosistema vuelve a ver Bots maliciosos: el perfil oculta trampas de fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-cfefb15e6201f47f30b9dc4db76d81d3.webp(
![Solana ecosistema vuelve a ver Bots maliciosos: el perfil oculta trampas para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-57ba4a644ebef290c283580a2167824f.webp(
![Reaparición de Bots maliciosos en el ecosistema de Solana: el perfil oculta trampas de divulgación de Llave privada])https://img-cdn.gateio.im/webp-social/moments-2be2dd9eda6128199be4f95aa1cde0a7.webp(
![Solana ecosistema vuelve a sufrir ataques de Bots: el archivo de configuración oculta trampas para el envío de Llave privada])https://img-cdn.gateio.im/webp-social/moments-d37c144e4d0ea21d3d498ad94e543163.webp(
![Solana ecosistema vuelve a presentar Bots maliciosos: el perfil ocultaba una trampa para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-68ecbf61d12fe93ff3064dd2e33b0a8c.webp(
Indicadores de intrusión ) IoCs (
IP: 103.35.189.28 Dominio: storebackend-qpq3.onrender.com
Repositorio malicioso:
Otros repositorios con métodos de implementación similares también están listados.
![Solana ecosistema vuelve a mostrar Bots maliciosos: el perfil esconde la trampa de la fuga de la Llave privada])https://img-cdn.gateio.im/webp-social/moments-6af3aa6c3c070effb3a6d1d986126ea3.webp(
![Reaparición de Bots maliciosos en el ecosistema de Solana: el perfil oculta trampas para la fuga de Llave privada])https://img-cdn.gateio.im/webp-social/moments-a0148c7998bea12a4bcd48595652589a.webp(
Resumen
Los atacantes se disfrazan de proyectos de código abierto legítimos, induciendo a los usuarios a descargar y ejecutar este código malicioso. El proyecto leerá información sensible del archivo .env local y transferirá la llave privada robada a un servidor controlado por los atacantes.
Se recomienda a los desarrolladores y a los usuarios que mantengan una alta vigilancia sobre los proyectos de GitHub de origen desconocido, especialmente cuando se trata de operaciones con billeteras o Llave privada. Si es necesario ejecutar o depurar, se sugiere hacerlo en un entorno independiente y sin datos sensibles, para evitar la ejecución de programas y comandos maliciosos de origen desconocido.
![Reaparición de Bots maliciosos en el ecosistema de Solana: trampa de fuga de Llave privada oculta en el perfil])https://img-cdn.gateio.im/webp-social/moments-9869ded8451159c388daf8f18fab1522.webp(