Un repositorio de GitHub que se hacía pasar por un bot de trading legítimo de Solana fue descubierto por ocultar malware para robar criptomonedas.
Según un informe publicado el viernes por la empresa de seguridad blockchain SlowMist, el repositorio solana-pumpfun-bot, ahora eliminado, alojado en la cuenta «zldp2002», imitaba una herramienta de código abierto real para recopilar las credenciales de los usuarios.
SlowMist habría iniciado la investigación después de que un usuario descubriera que le habían robado sus fondos el jueves.
El repositorio malicioso de GitHub en cuestión contaba con «un número relativamente alto de estrellas y bifurcaciones», según SlowMist. Todas las confirmaciones de código en todos sus directorios se realizaron hace unas tres semanas, con irregularidades aparentes y una falta de patrón coherente que, según SlowMist, indicaría un proyecto legítimo.
Según el proyecto está basado en Node.js y utiliza el paquete de terceros crypto-layout-utils como dependencia. «Tras una inspección más detallada, descubrimos que este paquete ya había sido eliminado del registro oficial de NPM», afirmó SlowMist.
Un paquete NPM sospechoso
Dicho paquete ya no se podía descargar desde el registro oficial del gestor de paquetes Node (NPM), lo que llevó a los investigadores a preguntarse cómo había descargado el paquete la víctima. Tras investigar más a fondo, SlowMist descubrió que el atacante estaba descargando la biblioteca desde un repositorio GitHub independiente.
Tras analizar el paquete, los investigadores de SlowMist descubrieron que estaba muy oculto con jsjiami.com.v7, lo que dificultaba su análisis. Tras descifrarlo, los investigadores confirmaron que se trataba de un paquete malicioso que escaneaba los archivos locales. Y, si detectaba contenido relacionado con billeteras o claves privadas, los subía a un servidor remoto.
