# ソラナエコシステムに再び悪意のあるボットが出現: プロファイルが秘密鍵漏洩の罠を隠す最近、あるユーザーが pumpfun-pumpswap-sniper-copy-trading-bot という名前のオープンソースプロジェクトを使用したため、暗号資産が盗まれました。セキュリティチームはこれについて詳細な分析を行いました。## 静的解析分析の結果、疑わしいコードは /src/common/config.rs 設定ファイル内にあり、主に create_coingecko_proxy() メソッド内に集中しています。このメソッドはまず import_wallet() を呼び出して秘密鍵を取得し、その後悪意のある URL アドレスをデコードします。デコードされた実際のアドレスは:悪意のあるコードはその後、JSONリクエストボディを構築し、秘密鍵の情報をその中に封入し、上記のURLにPOSTリクエストを送信します。サーバーがどのような結果を返そうとも、悪意のあるコードは引き続き実行され、ユーザーに気づかれないようにします。create_coingecko_proxy() メソッドはアプリケーション起動時に呼び出され、main.rs の main() メソッドの設定ファイル初期化段階にあります。このプロジェクトは、GitHub上で最近(2025年7月17日に)更新され、主な変更はsrcディレクトリ内の設定ファイルconfig.rsに集中しています。HELIUS_PROXY(攻撃者サーバーの元のアドレスのエンコーディングが新しいエンコーディングに置き換えられました。! [悪意のあるロボットのSolana生態学的複製:設定ファイル隠し秘密鍵送信トラップ])https://img-cdn.gateio.im/social/moments-18e2e53ca3a5e4a8aa697fefefefe2d3dc09(![ソラナエコシステムに再び悪意のあるボットが出現:プロフィールに私鍵外伝の罠が隠されている])https://img-cdn.gateio.im/social/moments-1b9cc836d53854710f7ef3b8406e63ad(! [悪意のあるボットのSolana生態学的複製:設定ファイル隠し秘密鍵トラップ])https://img-cdn.gateio.im/social/moments-64fa1620b6e02f9f0babadd4ae8038be(! [Solanaエコシステムは悪意のあるボットを再現します:設定ファイルの隠し秘密鍵トラップ])https://img-cdn.gateio.im/social/moments-52dfae255e511bbb7a9813af7340c52e(! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵送信トラップ])https://img-cdn.gateio.im/social/moments-453d878924f97e2f24033e4d40f0a24c(! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルに隠された秘密鍵トラップ])https://img-cdn.gateio.im/social/moments-c092752ca8254c7c3dfa22bde91a954c(! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵トラップ])https://img-cdn.gateio.im/social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78(! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵トラップ])https://img-cdn.gateio.im/social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177(## 動的解析悪意のあるコードの盗難プロセスを直観的に観察するために、研究者はテスト用のソラナの公開鍵と秘密鍵のペアを生成するPythonスクリプトを作成し、POSTリクエストを受信するHTTPサーバーを構築しました。テストサーバーのアドレスエンコーディングを元の攻撃者が設定した悪意のあるサーバーアドレスエンコーディングに置き換え、.envファイル内のPRIVATE_KEY)秘密鍵(をテスト用の秘密鍵に置き換えてください。悪意のコードを起動した後、テストサーバーは悪意のプロジェクトから送信された JSON データを正常に受信しました。その中には PRIVATE_KEY)秘密鍵(情報が含まれています。![ソラナエコシステムに再び悪意のあるボットが出現:プロフィールに秘密鍵流出の罠が隠されている])https://img-cdn.gateio.im/social/moments-64fca774c385631399844f160f2f10f6(![ソラナエコシステムに再び悪意のあるボット:設定ファイルに私鍵外伝の罠が隠されている])https://img-cdn.gateio.im/social/moments-7f864266a4358a6c8e9a79f81724e28b(! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵送信トラップ])https://img-cdn.gateio.im/social/moments-9bdba50464383385bd886d9ef9bee815(! [悪意のあるボットのSolana生態学的複製:構成ファイルに隠された秘密鍵トラップ])https://img-cdn.gateio.im/social/moments-72fa652d772e8b9e2cf92ebb70beb665(! [Solana悪意のあるロボットの生態学的複製:設定ファイル隠し秘密鍵送信トラップ])https://img-cdn.gateio.im/social/moments-cfefb15e6201f47f30b9dc4db76d81d3(! [Solanaエコシステムは悪意のあるボットを再現します:設定ファイルの隠し秘密鍵トラップ])https://img-cdn.gateio.im/social/moments-57ba4a644ebef290c283580a2167824f(! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵トラップ])https://img-cdn.gateio.im/social/moments-2be2dd9eda6128199be4f95aa1cde0a7(! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵送信トラップ])https://img-cdn.gateio.im/social/moments-d37c144e4d0ea21d3d498ad94e543163(! [Solanaエコシステムは悪意のあるロボットを再現します:構成ファイルの隠し秘密鍵送信トラップ])https://img-cdn.gateio.im/social/moments-68ecbf61d12fe93ff3064dd2e33b0a8c(## 侵入インジケータ )IoCs(IPアドレス:103.35.189.28ドメイン名:storebackend-qpq3.onrender.com悪意のある倉庫:類似の実装手法を持つ他のリポジトリもリストアップされています。! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵送信トラップ])https://img-cdn.gateio.im/social/moments-6af3aa6c3c070effb3a6d1d986126ea3(! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵送信トラップ])https://img-cdn.gateio.im/social/moments-a0148c7998bea12a4bcd48595652589a(## まとめ攻撃者は合法なオープンソースプロジェクトに偽装し、ユーザーを誘導してその悪意のあるコードをダウンロードさせて実行させます。このプロジェクトはローカルの .env ファイルから機密情報を読み取り、盗まれた秘密鍵を攻撃者が制御するサーバーに転送します。開発者は、特に財布や秘密鍵の操作に関わる場合、出所不明の GitHub プロジェクトに対して高度な警戒を保つことをお勧めします。実行またはデバッグが必要な場合は、独立した、機密データのない環境で行うことをお勧めし、出所不明の悪意のあるプログラムやコマンドを実行しないようにしてください。! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルに隠された秘密鍵トラップ])https://img-cdn.gateio.im/social/moments-9869ded8451159c388daf8f18fab1522(
ソラナ生態系に再び悪意のあるボットが出現 オープンソースプロジェクトが秘密鍵を隠して盗取する罠
ソラナエコシステムに再び悪意のあるボットが出現: プロファイルが秘密鍵漏洩の罠を隠す
最近、あるユーザーが pumpfun-pumpswap-sniper-copy-trading-bot という名前のオープンソースプロジェクトを使用したため、暗号資産が盗まれました。セキュリティチームはこれについて詳細な分析を行いました。
静的解析
分析の結果、疑わしいコードは /src/common/config.rs 設定ファイル内にあり、主に create_coingecko_proxy() メソッド内に集中しています。このメソッドはまず import_wallet() を呼び出して秘密鍵を取得し、その後悪意のある URL アドレスをデコードします。
デコードされた実際のアドレスは:
悪意のあるコードはその後、JSONリクエストボディを構築し、秘密鍵の情報をその中に封入し、上記のURLにPOSTリクエストを送信します。サーバーがどのような結果を返そうとも、悪意のあるコードは引き続き実行され、ユーザーに気づかれないようにします。
create_coingecko_proxy() メソッドはアプリケーション起動時に呼び出され、main.rs の main() メソッドの設定ファイル初期化段階にあります。
このプロジェクトは、GitHub上で最近(2025年7月17日に)更新され、主な変更はsrcディレクトリ内の設定ファイルconfig.rsに集中しています。HELIUS_PROXY(攻撃者サーバーの元のアドレスのエンコーディングが新しいエンコーディングに置き換えられました。
! [悪意のあるロボットのSolana生態学的複製:設定ファイル隠し秘密鍵送信トラップ])https://img-cdn.gateio.im/social/moments-18e2e53ca3a5e4a8aa697fefefefe2d3dc09(
![ソラナエコシステムに再び悪意のあるボットが出現:プロフィールに私鍵外伝の罠が隠されている])https://img-cdn.gateio.im/webp-social/moments-1b9cc836d53854710f7ef3b8406e63ad.webp(
! [悪意のあるボットのSolana生態学的複製:設定ファイル隠し秘密鍵トラップ])https://img-cdn.gateio.im/webp-social/moments-64fa1620b6e02f9f0babadd4ae8038be.webp(
! [Solanaエコシステムは悪意のあるボットを再現します:設定ファイルの隠し秘密鍵トラップ])https://img-cdn.gateio.im/webp-social/moments-52dfae255e511bbb7a9813af7340c52e.webp(
! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵送信トラップ])https://img-cdn.gateio.im/webp-social/moments-453d878924f97e2f24033e4d40f0a24c.webp(
! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルに隠された秘密鍵トラップ])https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵トラップ])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(
! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵トラップ])https://img-cdn.gateio.im/webp-social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177.webp(
動的解析
悪意のあるコードの盗難プロセスを直観的に観察するために、研究者はテスト用のソラナの公開鍵と秘密鍵のペアを生成するPythonスクリプトを作成し、POSTリクエストを受信するHTTPサーバーを構築しました。
テストサーバーのアドレスエンコーディングを元の攻撃者が設定した悪意のあるサーバーアドレスエンコーディングに置き換え、.envファイル内のPRIVATE_KEY)秘密鍵(をテスト用の秘密鍵に置き換えてください。
悪意のコードを起動した後、テストサーバーは悪意のプロジェクトから送信された JSON データを正常に受信しました。その中には PRIVATE_KEY)秘密鍵(情報が含まれています。
![ソラナエコシステムに再び悪意のあるボットが出現:プロフィールに秘密鍵流出の罠が隠されている])https://img-cdn.gateio.im/webp-social/moments-64fca774c385631399844f160f2f10f6.webp(
![ソラナエコシステムに再び悪意のあるボット:設定ファイルに私鍵外伝の罠が隠されている])https://img-cdn.gateio.im/webp-social/moments-7f864266a4358a6c8e9a79f81724e28b.webp(
! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵送信トラップ])https://img-cdn.gateio.im/webp-social/moments-9bdba50464383385bd886d9ef9bee815.webp(
! [悪意のあるボットのSolana生態学的複製:構成ファイルに隠された秘密鍵トラップ])https://img-cdn.gateio.im/webp-social/moments-72fa652d772e8b9e2cf92ebb70beb665.webp(
! [Solana悪意のあるロボットの生態学的複製:設定ファイル隠し秘密鍵送信トラップ])https://img-cdn.gateio.im/webp-social/moments-cfefb15e6201f47f30b9dc4db76d81d3.webp(
! [Solanaエコシステムは悪意のあるボットを再現します:設定ファイルの隠し秘密鍵トラップ])https://img-cdn.gateio.im/webp-social/moments-57ba4a644ebef290c283580a2167824f.webp(
! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵トラップ])https://img-cdn.gateio.im/webp-social/moments-2be2dd9eda6128199be4f95aa1cde0a7.webp(
! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵送信トラップ])https://img-cdn.gateio.im/webp-social/moments-d37c144e4d0ea21d3d498ad94e543163.webp(
! [Solanaエコシステムは悪意のあるロボットを再現します:構成ファイルの隠し秘密鍵送信トラップ])https://img-cdn.gateio.im/webp-social/moments-68ecbf61d12fe93ff3064dd2e33b0a8c.webp(
侵入インジケータ )IoCs(
IPアドレス:103.35.189.28 ドメイン名:storebackend-qpq3.onrender.com
悪意のある倉庫:
類似の実装手法を持つ他のリポジトリもリストアップされています。
! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵送信トラップ])https://img-cdn.gateio.im/webp-social/moments-6af3aa6c3c070effb3a6d1d986126ea3.webp(
! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵送信トラップ])https://img-cdn.gateio.im/webp-social/moments-a0148c7998bea12a4bcd48595652589a.webp(
まとめ
攻撃者は合法なオープンソースプロジェクトに偽装し、ユーザーを誘導してその悪意のあるコードをダウンロードさせて実行させます。このプロジェクトはローカルの .env ファイルから機密情報を読み取り、盗まれた秘密鍵を攻撃者が制御するサーバーに転送します。
開発者は、特に財布や秘密鍵の操作に関わる場合、出所不明の GitHub プロジェクトに対して高度な警戒を保つことをお勧めします。実行またはデバッグが必要な場合は、独立した、機密データのない環境で行うことをお勧めし、出所不明の悪意のあるプログラムやコマンドを実行しないようにしてください。
! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルに隠された秘密鍵トラップ])https://img-cdn.gateio.im/webp-social/moments-9869ded8451159c388daf8f18fab1522.webp(