Solana生态再现恶意机器人:配置文件隐藏私钥窃取陷阱

2025年7月初,一名用户向慢雾安全团队求助,请求分析其加密资产被盗原因。调查发现,事件源于该用户使用了托管在GitHub上的开源项目zldp2002/solana-pumpfun-bot,触发了隐蔽的资产窃取行为。

近期,又有用户因使用类似的开源项目audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot,导致加密资产被盗,并联系慢雾安全团队。对此,团队进行了深入分析。

分析过程

静态分析

通过静态分析,发现可疑代码位于/src/common/config.rs配置文件中,主要集中在create_coingecko_proxy()方法内。该方法首先调用import_wallet(),进而调用import_env_var()获取私钥。

在import_env_var()方法中,如果环境变量存在则直接返回;若不存在,则进入Err(e)分支,打印错误信息。由于存在无退出条件的loop{}循环,会导致资源持续消耗。

PRIVATE_KEY等敏感信息存储在.env文件中。当获取到PRIVATE_KEY后,恶意代码会对私钥长度进行判断:

• 若小于85,打印错误信息并持续消耗资源;
• 若大于85,将该Base58字符串转换为Keypair对象,包含私钥信息。

随后,恶意代码使用Arc对私钥信息进行封装,以支持多线程共享。

接着对恶意URL地址进行解码。首先获取编码后的HELIUS_PROXY(攻击者服务器地址)这一硬编码常量,使用bs58解码,将结果转换为字节数组,再转为UTF-8字符串。

解码后的真实地址为:

恶意代码随后创建HTTP客户端,将私钥信息转换为Base58字符串,构造JSON请求体,通过POST请求将私钥等数据发送至该URL,同时忽略响应结果。

此外,create_coingecko_proxy()方法还包含获取价格等正常功能,用以掩盖其恶意行为。该方法在应用启动时被调用,位于main.rs中main()方法的配置文件初始化阶段。

据分析,攻击者服务器的IP地址位于美国。

该项目近期(2025年7月17日)在GitHub上进行了更新,主要更改集中在src目录下的配置文件config.rs中。HELIUS_PROXY的原地址编码已被替换为新的编码。

动态分析

为直观观察恶意代码的窃取过程,我们编写了Python脚本生成测试用的Solana公私钥对,并在服务器上搭建了可接收POST请求的HTTP服务器。

将生成的测试服务器编码替换原攻击者设置的恶意服务器地址编码,并将.env文件中的PRIVATE_KEY替换为测试私钥。

启动恶意代码后,可以看到测试服务器成功接收到了恶意项目发送的JSON数据,其中包含PRIVATE_KEY信息。

入侵指标(IoCs)

IPs: 103.35.189.28

Domains: storebackend-qpq3.onrender.com

SHA256:

• 07f0364171627729788797bb37e0170a06a787a479666abf8c80736722bb79e8 - pumpfun-pumpswap-sniper-copy-trading-bot-master.zip
• ace4b1fc4290d6ffd7da0fa943625b3a852190f0aa8d44b93623423299809e48 - pumpfun-pumpswap-sniper-copy-trading-bot-master/src/common/config.rs

恶意仓库:

类似实现手法:

总结

本次攻击手法中,攻击者通过伪装成合法开源项目,诱导用户下载并执行恶意代码。该项目会从本地读取.env文件中的敏感信息,并将盗取的私钥传输至攻击者控制的服务器。这类攻击通常结合社会工程学技术,用户稍有不慎便可能中招。

建议开发者与用户对来路不明的GitHub项目保持高度警惕,尤其是在涉及钱包或私钥操作时。如确需运行或调试,建议在独立且无敏感数据的环境中进行,避免执行来源不明的恶意程序和命令。