Solana生态再次出现恶意机器人:配置文件隐藏私钥泄露陷阱

近期,一名用户因使用名为 pumpfun-pumpswap-sniper-copy-trading-bot 的开源项目,导致加密资产被盗。安全团队对此进行了深入分析。

静态分析

分析发现,可疑代码位于 /src/common/config.rs 配置文件中,主要集中在 create_coingecko_proxy() 方法内。该方法首先调用 import_wallet() 获取私钥,然后对恶意 URL 地址进行解码。

解码后的真实地址为:

恶意代码随后构造 JSON 请求体,将私钥信息封装其中,通过 POST 请求发送至上述 URL。无论服务器返回何种结果,恶意代码仍会继续运行,以避免引起用户察觉。

create_coingecko_proxy() 方法在应用启动时被调用,位于 main.rs 中 main() 方法的配置文件初始化阶段。

该项目在 GitHub 上于近期(2025 年 7 月 17 日)进行了更新,主要更改集中在 src 目录下的配置文件 config.rs 中。HELIUS_PROXY(攻击者服务器地址)的原地址编码已被替换为新的编码。

动态分析

为直观观察恶意代码的盗窃过程,研究人员编写了 Python 脚本生成测试用的 Solana 公私钥对,并搭建了接收 POST 请求的 HTTP 服务器。

将测试服务器地址编码替换原攻击者设置的恶意服务器地址编码,并将 .env 文件中的 PRIVATE_KEY(私钥)替换为测试私钥。

启动恶意代码后,测试服务器成功接收到了恶意项目发送的 JSON 数据,其中包含 PRIVATE_KEY(私钥)信息。

入侵指标(IoCs)

IP: 103.35.189.28 域名: storebackend-qpq3.onrender.com

恶意仓库:

类似实现手法的其他仓库也被列出。

总结

攻击者通过伪装成合法开源项目,诱导用户下载并执行该恶意代码。该项目会从本地读取 .env 文件中的敏感信息,并将盗取的私钥传输至攻击者控制的服务器。

建议开发者与用户对来路不明的 GitHub 项目保持高度警惕,尤其是在涉及钱包或私钥操作时。如确需运行或调试,建议在独立且无敏感数据的环境中进行,避免执行来源不明的恶意程序和命令。