SlowMist 在 GitHub 上发现“Solana-pumpfun-bot”含有代币盗窃陷阱

本站报道：

慢雾 揭露，GitHub 平台上广泛使用的开源项目“Solana-pumpfun-bot”含有从用户钱包中窃取加密货币的代码。

调查始于2025年7月2日，一名受害者联系慢雾安全团队，寻求帮助分析其钱包资产被盗的原因。

此次事件的起因是他前一天利用托管在GitHub上的一个开源项目，导致加密资产被盗。SlowMist声明被盗资金正在转移到 FixedFloat 交易所。

项目作者是主要嫌疑人

为了实施攻击，黑客伪装成官方开源项目 (solana-pumpfun-bot)，诱骗用户下载并运行恶意代码。调查过程中发现，一个名为“crypto-layout-utils”的可疑依赖包已从官方 NPM 源中删除。

黑客随后上传了该软件的恶意版本来代替原始下载URL。它在受害者的电脑上搜索与钱包相关的文件后，将敏感数据发送到攻击者控制的服务器。

调查还发现，该项目作者涉嫌控制多个 GitHub 账户。这些账户被用于 fork 恶意项目、分发恶意程序以及人为抬高项目知名度。我们还发现了多个存在类似恶意行为的 fork 项目，其中一些使用了另一个恶意软件包“bs58-encrypt-utils”。

整个攻击链涉及多个 GitHub 账户协同运作，扩大了传播范围，增强了可信度，且极具欺骗性。同时，此次攻击同时运用了社会工程学和技术手段，在组织内部难以完全防御。

该恶意活动被认为始于 2025 年 6 月 12 日。此时攻击者创建了恶意软件包“bs58-encrypt-utils”。

加密黑客攻击并没有取得太大进展，只是变得更加狡猾

Slowmist 表示，加密货币黑客攻击技术虽然没有太大进步，但手段却更加狡猾。Slowmist 的运营主管 Lisa 表示，说在该公司第二季度 MistTrack 被盗资金分析报告中，尽管黑客技术没有取得进展，但诈骗行为已经变得更加成熟.

有一个上升在虚假浏览器扩展、被篡改的硬件钱包和社会工程攻击中。“我们看到了从纯粹的链上攻击到链下入口点的明显转变——浏览器扩展、社交媒体帐户、身份验证流程和用户行为都成为常见的攻击面，”丽莎说道。

2025 年第二季度盗窃原因 | 来源：SlowMist

例如，攻击者会引导用户访问 Notion 或 Zoom 等知名且常用的网站。当用户尝试从这些官方网站下载软件时，所下载的文件已被恶意替换。

另一种方式是黑客向用户发送一个被入侵的冷钱包。他们会告诉受害者，他们在“抽奖”中赢得了一个免费设备，或者告诉他们现有的设备已被入侵，需要转移资产。更妙的是，黑客还会植入虚假网站。

最后的打击通常是操纵。攻击者知道，像‘检测到风险签名’这样的短语会引发恐慌，促使用户采取草率的行动。一旦触发这种情绪状态，就更容易操纵他们做出通常不会做的事情——比如点击链接或分享敏感信息。丽莎说道。

其他攻击则利用了黑客手段EIP-7702，该功能已添加到最新版本的以太坊 Pectra 中。另一次攻击接管了多个微信用户的账户，并将其作为攻击目标。根据 SlowMist 的数据，以太坊在 2025 年上半年的安全损失在所有生态系统中位居榜首，DeFi 平台损失约 4.7 亿美元。

Cryptopolitan Academy：即将推出 - 2025 年利用 DeFi 赚取被动收入的新方式。了解更多