# ソラナエコシステムに再び悪意のあるボット: 設定ファイルに隠された秘密鍵窃取の罠2025年7月初、ユーザーがSlowMistセキュリティチームに助けを求め、暗号資産が盗まれた理由の分析を依頼しました。調査の結果、この事件はユーザーがGitHubにホスティングされているオープンソースプロジェクトzldp2002/ソラナ-pumpfun-ボットを使用したことに起因し、隠れた資産窃取行為が引き起こされました。最近、ユーザーが類似のオープンソースプロジェクトaudiofilter/pumpfun-pumpswap-sniper-copy-trading-botを使用したために暗号資産が盗まれ、SlowMistセキュリティチームに連絡しました。これに対し、チームは詳細な分析を行いました。## 分析プロセス### 静的解析静的分析を通じて、疑わしいコードが/src/common/config.rsの設定ファイルに存在することがわかり、主にcreate_coingecko_proxy()メソッド内に集中しています。このメソッドは最初にimport_wallet()を呼び出し、次にimport_env_var()を呼び出して秘密鍵を取得します。! [悪意のあるロボットのSolana生態学的複製:設定ファイル隠し秘密鍵送信トラップ](https://img-cdn.gateio.im/social/moments-18e2e53ca3a5e4a8aa697fefefefe2d3dc09)import_env_var()メソッドでは、環境変数が存在する場合は直接返します。存在しない場合は、Err(e)ブランチに入ってエラーメッセージを印刷します。終了条件のないloop{}ループが存在するため、リソースの継続的な消耗を引き起こします。! [悪意のあるボットのSolana生態学的複製:設定ファイルの隠し秘密鍵トラップ](https://img-cdn.gateio.im/social/moments-1b9cc836d53854710f7ef3b8406e63ad)秘密鍵などの敏感情報は.envファイルに保存されています。PRIVATE_KEYを取得すると、悪意のあるコードが秘密鍵の長さを判断します:- 85未満の場合、エラーメッセージを印刷し、リソースを消費し続けます;- 85より大きい場合、そのBase58文字列をKeypairオブジェクトに変換し、秘密鍵情報を含みます。その後、悪意のあるコードはArcを使用して秘密鍵情報をカプセル化し、マルチスレッド共有をサポートします。! [悪意のあるボットのSolana生態学的複製:設定ファイル隠し秘密鍵トラップ](https://img-cdn.gateio.im/social/moments-64fa1620b6e02f9f0babadd4ae8038be)次に、悪意のあるURLアドレスをデコードします。まず、エンコードされたHELIUS_PROXY(攻撃者サーバーアドレス)というハードコーディング定数を取得し、bs58でデコードし、結果をバイト配列に変換し、さらにUTF-8文字列に変換します。デコードされた実際のアドレスは:! [Solanaエコシステムは悪意のあるボットを再現します:設定ファイルの隠し秘密鍵トラップ](https://img-cdn.gateio.im/social/moments-52dfae255e511bbb7a9813af7340c52e)悪意のあるコードはその後、HTTPクライアントを作成し、秘密鍵情報をBase58文字列に変換し、JSONリクエストボディを構築し、POSTリクエストを通じて秘密鍵などのデータをそのURLに送信し、同時に応答結果を無視します。さらに、create_coingecko_proxy()メソッドは、価格取得などの通常の機能を含んでおり、その悪意のある行動を隠すために使用されます。このメソッドはアプリケーションの起動時に呼び出され、main.rs内のmain()メソッドの設定ファイル初期化段階に位置しています。分析によると、攻撃者のサーバーのIPアドレスはアメリカにあります。このプロジェクトは最近(2025年7月17日にGitHubで更新され、主な変更はsrcディレクトリ内の設定ファイルconfig.rsに集中しています。HELIUS_PROXYの元のアドレスエンコーディングは新しいエンコーディングに置き換えられました。! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵送信トラップ])https://img-cdn.gateio.im/social/moments-453d878924f97e2f24033e4d40f0a24c() 動的解析 悪意のあるコードの盗取プロセスを直感的に観察するために、テスト用のソラナの公開鍵と秘密鍵のペアを生成するPythonスクリプトを作成し、サーバー上にPOSTリクエストを受け取るHTTPサーバーを構築しました。生成されたテストサーバーのコードを元の攻撃者が設定した悪意のあるサーバーアドレスのコードに置き換え、.envファイルのPRIVATE_KEYをテスト用の秘密鍵に置き換えます。悪意のコードを起動した後、テストサーバーが悪意のあるプロジェクトから送信されたJSONデータを正常に受信したことが確認でき、その中には秘密鍵の情報が含まれています。! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルに隠された秘密鍵トラップ]###https://img-cdn.gateio.im/social/moments-c092752ca8254c7c3dfa22bde91a954c(## 侵入インジケータ )IoCs(IPアドレス:103.35.189.28ドメイン:storebackend-qpq3.onrender.comSHA256:- 07f0364171627729788797bb37e0170a06a787a479666abf8c80736722bb79e8 - pumpfun-pumpswap-sniper-copy-trading-bot-master.zip- ace4b1fc4290d6ffd7da0fa943625b3a852190f0aa8d44b93623423299809e48 - pumpfun-pumpswap-sniper-copy-trading-bot-master/src/common/config.rs悪意のあるリポジトリ:同様の実装:- - - - - - - ## サマリー本攻撃手法では、攻撃者が合法的なオープンソースプロジェクトに偽装し、ユーザーに悪意のあるコードをダウンロードして実行させる。プロジェクトはローカルから.envファイル内の敏感情報を読み取り、盗まれた秘密鍵を攻撃者が制御するサーバーに送信する。この種の攻撃は通常、ソーシャルエンジニアリング技術と組み合わされており、ユーザーが少しでも不注意であれば引っかかる可能性がある。開発者は、特にウォレットや秘密鍵の操作に関わる場合、出所不明のGitHubプロジェクトに対して高い警戒心を持つことをお勧めします。実行またはデバッグが必要な場合は、独立した敏感データのない環境で行うことをお勧めし、出所不明の悪意のあるプログラムやコマンドの実行を避けてください。! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵トラップ])https://img-cdn.gateio.im/social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78(
ソラナ新型悪意ボット:隠された秘密鍵窃取コード分析と防止
ソラナエコシステムに再び悪意のあるボット: 設定ファイルに隠された秘密鍵窃取の罠
2025年7月初、ユーザーがSlowMistセキュリティチームに助けを求め、暗号資産が盗まれた理由の分析を依頼しました。調査の結果、この事件はユーザーがGitHubにホスティングされているオープンソースプロジェクトzldp2002/ソラナ-pumpfun-ボットを使用したことに起因し、隠れた資産窃取行為が引き起こされました。
最近、ユーザーが類似のオープンソースプロジェクトaudiofilter/pumpfun-pumpswap-sniper-copy-trading-botを使用したために暗号資産が盗まれ、SlowMistセキュリティチームに連絡しました。これに対し、チームは詳細な分析を行いました。
分析プロセス
静的解析
静的分析を通じて、疑わしいコードが/src/common/config.rsの設定ファイルに存在することがわかり、主にcreate_coingecko_proxy()メソッド内に集中しています。このメソッドは最初にimport_wallet()を呼び出し、次にimport_env_var()を呼び出して秘密鍵を取得します。
! 悪意のあるロボットのSolana生態学的複製:設定ファイル隠し秘密鍵送信トラップ
import_env_var()メソッドでは、環境変数が存在する場合は直接返します。存在しない場合は、Err(e)ブランチに入ってエラーメッセージを印刷します。終了条件のないloop{}ループが存在するため、リソースの継続的な消耗を引き起こします。
! 悪意のあるボットのSolana生態学的複製:設定ファイルの隠し秘密鍵トラップ
秘密鍵などの敏感情報は.envファイルに保存されています。PRIVATE_KEYを取得すると、悪意のあるコードが秘密鍵の長さを判断します:
その後、悪意のあるコードはArcを使用して秘密鍵情報をカプセル化し、マルチスレッド共有をサポートします。
! 悪意のあるボットのSolana生態学的複製:設定ファイル隠し秘密鍵トラップ
次に、悪意のあるURLアドレスをデコードします。まず、エンコードされたHELIUS_PROXY(攻撃者サーバーアドレス)というハードコーディング定数を取得し、bs58でデコードし、結果をバイト配列に変換し、さらにUTF-8文字列に変換します。
デコードされた実際のアドレスは:
! Solanaエコシステムは悪意のあるボットを再現します:設定ファイルの隠し秘密鍵トラップ
悪意のあるコードはその後、HTTPクライアントを作成し、秘密鍵情報をBase58文字列に変換し、JSONリクエストボディを構築し、POSTリクエストを通じて秘密鍵などのデータをそのURLに送信し、同時に応答結果を無視します。
さらに、create_coingecko_proxy()メソッドは、価格取得などの通常の機能を含んでおり、その悪意のある行動を隠すために使用されます。このメソッドはアプリケーションの起動時に呼び出され、main.rs内のmain()メソッドの設定ファイル初期化段階に位置しています。
分析によると、攻撃者のサーバーのIPアドレスはアメリカにあります。
このプロジェクトは最近(2025年7月17日にGitHubで更新され、主な変更はsrcディレクトリ内の設定ファイルconfig.rsに集中しています。HELIUS_PROXYの元のアドレスエンコーディングは新しいエンコーディングに置き換えられました。
! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵送信トラップ])https://img-cdn.gateio.im/webp-social/moments-453d878924f97e2f24033e4d40f0a24c.webp(
) 動的解析
悪意のあるコードの盗取プロセスを直感的に観察するために、テスト用のソラナの公開鍵と秘密鍵のペアを生成するPythonスクリプトを作成し、サーバー上にPOSTリクエストを受け取るHTTPサーバーを構築しました。
生成されたテストサーバーのコードを元の攻撃者が設定した悪意のあるサーバーアドレスのコードに置き換え、.envファイルのPRIVATE_KEYをテスト用の秘密鍵に置き換えます。
悪意のコードを起動した後、テストサーバーが悪意のあるプロジェクトから送信されたJSONデータを正常に受信したことが確認でき、その中には秘密鍵の情報が含まれています。
! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルに隠された秘密鍵トラップ]###https://img-cdn.gateio.im/webp-social/moments-c092752ca8254c7c3dfa22bde91a954c.webp(
侵入インジケータ )IoCs(
IPアドレス: 103.35.189.28
ドメイン: storebackend-qpq3.onrender.com
SHA256:
悪意のあるリポジトリ:
同様の実装:
サマリー
本攻撃手法では、攻撃者が合法的なオープンソースプロジェクトに偽装し、ユーザーに悪意のあるコードをダウンロードして実行させる。プロジェクトはローカルから.envファイル内の敏感情報を読み取り、盗まれた秘密鍵を攻撃者が制御するサーバーに送信する。この種の攻撃は通常、ソーシャルエンジニアリング技術と組み合わされており、ユーザーが少しでも不注意であれば引っかかる可能性がある。
開発者は、特にウォレットや秘密鍵の操作に関わる場合、出所不明のGitHubプロジェクトに対して高い警戒心を持つことをお勧めします。実行またはデバッグが必要な場合は、独立した敏感データのない環境で行うことをお勧めし、出所不明の悪意のあるプログラムやコマンドの実行を避けてください。
! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵トラップ])https://img-cdn.gateio.im/webp-social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78.webp(