Solana生態再現惡意機器人:配置文件隱藏私鑰竊取陷阱

2025年7月初,一名用戶向慢霧安全團隊求助,請求分析其加密資產被盜原因。調查發現,事件源於該用戶使用了托管在GitHub上的開源項目zldp2002/solana-pumpfun-bot,觸發了隱蔽的資產竊取行爲。

近期,又有用戶因使用類似的開源項目audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot,導致加密資產被盜,並聯系慢霧安全團隊。對此,團隊進行了深入分析。

分析過程

靜態分析

通過靜態分析,發現可疑代碼位於/src/common/config.rs配置文件中,主要集中在create_coingecko_proxy()方法內。該方法首先調用import_wallet(),進而調用import_env_var()獲取私鑰。

在import_env_var()方法中,如果環境變量存在則直接返回;若不存在,則進入Err(e)分支,打印錯誤信息。由於存在無退出條件的loop{}循環,會導致資源持續消耗。

PRIVATE_KEY等敏感信息存儲在.env文件中。當獲取到PRIVATE_KEY後,惡意代碼會對私鑰長度進行判斷:

• 若小於85,打印錯誤信息並持續消耗資源;
• 若大於85,將該Base58字符串轉換爲Keypair對象,包含私鑰信息。

隨後,惡意代碼使用Arc對私鑰信息進行封裝,以支持多線程共享。

接着對惡意URL地址進行解碼。首先獲取編碼後的HELIUS_PROXY(攻擊者服務器地址)這一硬編碼常量,使用bs58解碼,將結果轉換爲字節數組,再轉爲UTF-8字符串。

解碼後的真實地址爲:

惡意代碼隨後創建HTTP客戶端,將私鑰信息轉換爲Base58字符串,構造JSON請求體,通過POST請求將私鑰等數據發送至該URL,同時忽略響應結果。

此外,create_coingecko_proxy()方法還包含獲取價格等正常功能,用以掩蓋其惡意行爲。該方法在應用啓動時被調用,位於main.rs中main()方法的配置文件初始化階段。

據分析,攻擊者服務器的IP地址位於美國。

該項目近期(2025年7月17日)在GitHub上進行了更新,主要更改集中在src目錄下的配置文件config.rs中。HELIUS_PROXY的原地址編碼已被替換爲新的編碼。

動態分析

爲直觀觀察惡意代碼的竊取過程,我們編寫了Python腳本生成測試用的Solana公私鑰對,並在服務器上搭建了可接收POST請求的HTTP服務器。

將生成的測試服務器編碼替換原攻擊者設置的惡意服務器地址編碼,並將.env文件中的PRIVATE_KEY替換爲測試私鑰。

啓動惡意代碼後,可以看到測試服務器成功接收到了惡意項目發送的JSON數據,其中包含PRIVATE_KEY信息。

入侵指標(IoCs)

IPs: 103.35.189.28

Domains: storebackend-qpq3.onrender.com

SHA256:

• 07f0364171627729788797bb37e0170a06a787a479666abf8c80736722bb79e8 - pumpfun-pumpswap-sniper-copy-trading-bot-master.zip
• ace4b1fc4290d6ffd7da0fa943625b3a852190f0aa8d44b93623423299809e48 - pumpfun-pumpswap-sniper-copy-trading-bot-master/src/common/config.rs

惡意倉庫:

類似實現手法:

總結

本次攻擊手法中,攻擊者通過僞裝成合法開源項目,誘導用戶下載並執行惡意代碼。該項目會從本地讀取.env文件中的敏感信息,並將盜取的私鑰傳輸至攻擊者控制的服務器。這類攻擊通常結合社會工程學技術,用戶稍有不慎便可能中招。

建議開發者與用戶對來路不明的GitHub項目保持高度警惕,尤其是在涉及錢包或私鑰操作時。如確需運行或調試,建議在獨立且無敏感數據的環境中進行,避免執行來源不明的惡意程序和命令。