Solana生态又现恶意机器人:配置文件暗藏私钥窃取陷阱

2025年7月初,一名用户向安全团队求助,称其加密资产遭窃。经调查发现,事件源于该用户使用了托管在某代码平台上的一个开源项目,进而触发了隐蔽的盗币行为。

近期,又有用户因使用类似的开源项目audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot,导致加密资产被盗。对此,安全团队进行了深入分析。

分析过程

静态分析

通过静态分析,发现可疑代码位于/src/common/config.rs配置文件中,主要集中在create_coingecko_proxy()方法内。该方法首先调用import_wallet()获取私钥信息。

在import_env_var()方法中,主要用于获取.env文件中的环境变量配置信息。如果环境变量不存在,会进入无限循环,导致资源持续消耗。

PRIVATE_KEY等敏感信息存储在.env文件中。获取到私钥后,恶意代码会对私钥长度进行判断:若小于85,会进入无限循环;若大于85,则将其转换为Keypair对象。

随后,恶意代码对硬编码的URL地址进行解码,得到攻击者服务器地址。接着构造JSON请求体,将私钥信息发送至该服务器,同时忽略响应结果。

create_coingecko_proxy()方法在应用启动时被调用,位于配置文件初始化阶段。该方法名称经过伪装,具有一定迷惑性。

经分析,攻击者服务器IP位于美国。该项目近期进行了更新,主要更改集中在配置文件中,攻击者服务器地址的编码被替换。

动态分析

为直观观察盗窃过程,安全团队编写脚本生成测试用的公私钥对,并搭建了接收POST请求的HTTP服务器。

将测试服务器地址编码替换原恶意地址编码,并将测试私钥填入.env文件。启动恶意代码后,可看到测试服务器成功接收到包含私钥信息的JSON数据。

入侵指标

• IP: 103.35.189.28
• 域名: storebackend-qpq3.onrender.com
• 恶意仓库: audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot

此外还发现多个类似实现手法的仓库。

总结

攻击者通过伪装成合法开源项目,诱导用户执行恶意代码。该项目会读取本地敏感信息,并将盗取的私钥传输至攻击者服务器。这类攻击通常结合社会工程学技术,用户稍有不慎便可能中招。

建议开发者与用户对来源不明的项目保持警惕,尤其是涉及钱包或私钥操作时。如需调试,应在独立无敏感数据的环境中进行,避免执行来源不明的程序和命令。