Скрытые угрозы в open source: кража криптовалюты через вредоносные боты
Источник: slowmist.medium.com
Вредоносные проекты с открытым исходным кодом на GitHub угрожают безопасности криптоактивов
В июле 2025 года команда безопасности SlowMist раскрыла серию инцидентов, связанных с кражей криптовалюты через вредоносные проекты с открытым исходным кодом на GitHub. Главной опасностью стали такие репозитории, как zldp2002/solana-pumpfun-bot и audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot, которые маскировались под легитимные инструменты для работы с криптовалютами, но на самом деле содержали скрытые механизмы кражи конфиденциальных данных.
Как работает вредоносное ПО?
Злоумышленники внедряли вредоносный код в проекты, которые казались законными, и распространяли их среди пользователей, которые, не подозревая подлога, запускали эти программы. После активации ПО незаметно извлекало критически важную информацию — в частности, закрытый ключ — из локального файла .env и отправляло полученные данные на сервер, контролируемый злоумышленниками.
Этот тип атаки является классическим примером использования безобидных на первый взгляд приложений как средства для кражи данных, что вызывает значительную тревогу в сообществе пользователей блокчейна и криптовалют.
Динамический анализ и подтверждение угрозы
Для глубокого понимания механизма работы вредоносной программы специалисты SlowMist провели динамический анализ. Они модифицировали код, чтобы перенаправить украденную информацию на контролируемый ими тестовый сервер. Для тестирования была создана пара ключей Solana, а в коде изменён адрес сервера-адресата.
Во время эксперимента тестовый сервер получил POST-запрос с закрытым ключом, что наглядно продемонстрировало эффективность и опасность данного вредоносного ПО. Этот метод показал, насколько уязвимыми могут быть проекты с открытым исходным кодом при недостаточной проверке безопасности.
Особенности и сложности обнаружения
Злоумышленники тщательно замаскировали ключевые функции вредоносного кода под безобидные методы. Например, функция create_coingecko_proxy() якобы занималась легитимным поиском цен на криптовалюты через CoinGecko API, однако фактически служила для сокрытия кражи данных.
Такой подход с двойной функциональностью значительно усложняет обнаружение, поскольку внешне приложение выглядит как нормальный инструмент и не вызывает подозрений у пользователей.
Выводы и рекомендации для пользователей
Данный инцидент подчёркивает важность бдительности при использовании проектов с открытым исходным кодом, особенно в сфере криптовалют и блокчейн-технологий, где ставки на безопасность исключительно высоки.
- Тщательно проверяйте репозитории перед использованием — изучайте отзывы, количество пользователей и активность разработчиков;
- Избегайте запуска программ с правами доступа к конфиденциальным локальным файлам без понимания их кода;
- Используйте средства аудита и анализа безопасности для сторонних приложений;
- Регулярно меняйте закрытые ключи и не храните их в открытых или легко доступных местах;
- Поддерживайте осознанность по вопросам информационной безопасности и обучайтесь типам современных атак.
Как отметили специалисты SlowMist, «_при работе с проектами с открытым исходным кодом важно всегда помнить о возможности скрытого вредоносного функционала и принимать соответствующие меры предосторожности._»
Этот случай служит тревожным напоминанием о том, что в цифровую эпоху безопасность криптоактивов зависит не только от технологий, но и от осведомлённости и осторожности пользователей.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
