Solana生態又現惡意機器人:配置文件暗藏私鑰竊取陷阱

2025年7月初,一名用戶向安全團隊求助,稱其加密資產遭竊。經調查發現,事件源於該用戶使用了托管在某代碼平台上的一個開源項目,進而觸發了隱蔽的盜幣行爲。

近期,又有用戶因使用類似的開源項目audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot,導致加密資產被盜。對此,安全團隊進行了深入分析。

分析過程

靜態分析

通過靜態分析,發現可疑代碼位於/src/common/config.rs配置文件中,主要集中在create_coingecko_proxy()方法內。該方法首先調用import_wallet()獲取私鑰信息。

在import_env_var()方法中,主要用於獲取.env文件中的環境變量配置信息。如果環境變量不存在,會進入無限循環,導致資源持續消耗。

PRIVATE_KEY等敏感信息存儲在.env文件中。獲取到私鑰後,惡意代碼會對私鑰長度進行判斷:若小於85,會進入無限循環;若大於85,則將其轉換爲Keypair對象。

隨後,惡意代碼對硬編碼的URL地址進行解碼,得到攻擊者服務器地址。接着構造JSON請求體,將私鑰信息發送至該服務器,同時忽略響應結果。

create_coingecko_proxy()方法在應用啓動時被調用,位於配置文件初始化階段。該方法名稱經過僞裝,具有一定迷惑性。

經分析,攻擊者服務器IP位於美國。該項目近期進行了更新,主要更改集中在配置文件中,攻擊者服務器地址的編碼被替換。

動態分析

爲直觀觀察盜竊過程,安全團隊編寫腳本生成測試用的公私鑰對,並搭建了接收POST請求的HTTP服務器。

將測試服務器地址編碼替換原惡意地址編碼,並將測試私鑰填入.env文件。啓動惡意代碼後,可看到測試服務器成功接收到包含私鑰信息的JSON數據。

入侵指標

• IP: 103.35.189.28
• 域名: storebackend-qpq3.onrender.com
• 惡意倉庫: audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot

此外還發現多個類似實現手法的倉庫。

總結

攻擊者通過僞裝成合法開源項目,誘導用戶執行惡意代碼。該項目會讀取本地敏感信息,並將盜取的私鑰傳輸至攻擊者服務器。這類攻擊通常結合社會工程學技術,用戶稍有不慎便可能中招。

建議開發者與用戶對來源不明的項目保持警惕,尤其是涉及錢包或私鑰操作時。如需調試,應在獨立無敏感數據的環境中進行,避免執行來源不明的程序和命令。