¡Alerta máxima! El popular bot ’Solana-Pumpfun-Bot’ en GitHub es una trampa para robar cripto, según SlowMist

El ecosistema DeFi vuelve a temblar. SlowMist, firma líder de seguridad blockchain, acaba de destapar un proyecto open-source con código malicioso camuflado como herramienta legítima.

El bot en cuestión —usado por miles para operar en Solana— esconde un backdoor que drena wallets frías sin dejar rastro. ¿La ironía? La comunidad lo promocionaba como 'la navaja suiza del trading' en Pump.fun.

Expertos señalan que el script compromete claves privadas durante las transacciones aprobadas. Un recordatorio brutal: en cripto, hasta el código más 'revisado' puede ser caballo de Troya. (Y luego preguntan por qué los reguladores odian este salvaje oeste financiero).

El autor del proyecto es el principal sospechoso

Para retirar el ataque, el hacker fingió ser un proyecto oficial de código abierto (solana-Pumpfun-Bot) para que la gente descargue y ejecute código malicioso. Se descubrió que un paquete sospechoso de Dentdent llamado "Crypto-Layout-Utils" fue eliminado de la fuente oficial de NPM durante toda la investigación.

Posteriormente, el hacker subió una versión maliciosa del software en lugar de la URL de descarga original. Envió datos confidenciales a un servidor controlado por el atacante después de buscar archivos relacionados con la billetera de la PC de la víctima.

La investigación también encontró que se sospecha que el autor del proyecto controlaba múltiples cuentas de GitHub. Se utilizaron para bifurcar proyectos maliciosos, distribuir programas maliciosos e inflar artificialmente la popularidad del proyecto. Sedentmúltiples proyectos de bifurcación con un comportamiento malicioso similar, algunos de los cuales usaban otro paquete malicioso, "BS58-Ensrypt-Utils".

Toda la cadena de ataque involucra varias cuentas de GitHub trabajando juntas. Esto amplió el alcance de la difusión, la credibilidad mejorada y es extremadamente engañoso. Al mismo tiempo, este ataque utilizó tanto la ingeniería social como los medios técnicos, y es difícil defenderse completamente dentro de una organización.

Se cree que la actividad maliciosa comenzó el 12 de junio de 2025. Esto es cuando el atacante creó el paquete malicioso "BS58-entrypt-Utils". 

La piratería criptográfica no ha avanzado mucho; se han vuelto más astutos

Según las técnicas de piratería de criptografía, no han avanzado mucho, pero se han vuelto mucho más astutos. El jefe de operaciones de SlowMist, Lisa, dijo que Trac de la firma Q2 que, aunque no vio un avance en las técnicas de piratería, las estafas se han vuelto más sofisticadas .

Hay un aumento en las extensiones falsas del navegador, las billeteras de hardware manipuladas y los ataques de ingeniería social. "Estamos viendo un cambio claro de los ataques puramente en la cadena a los puntos de entrada fuera de la cadena: extensiones de navegador, cuentas de redes sociales, flujos de autenticación y comportamiento del usuario se están convirtiendo en superficies de ataque comunes", dijo Lisa.

Por ejemplo, los atacantes guían a los usuarios a visitar sitios web conocidos y comúnmente utilizados como noción o zoom. Cuando el usuario intenta descargar software de estos sitios oficiales, los archivos entregados ya han sido reemplazados maliciosamente. 

Otra forma es cuando los piratas informáticos envían a los usuarios una billetera fría comprometida. Le dicen a sus víctimas que han ganado un dispositivo gratuito bajo un "sorteo de lotería" o les dicen que su dispositivo existente estaba comprometido y que necesitaban transferir sus activos. Aún mejor, los piratas informáticos han introducido sitios web falsos. 

El golpe final suele ser la manipulación. "Los atacantes conocen frases como 'firma arriesgada detectada' pueden provocar el pánico, lo que lleva a los usuarios a tomar acciones apresuradas. Una vez que se desencadena ese estado emocional, es mucho más fácil manipularlos para hacer cosas que normalmente no harían, como hacer clic en enlaces o compartir información sensible", dijo Lisa.

Otros ataques utilizaron métodos de piratería que aprovecharon EIP-7702 , que se agregó en la versión más reciente de Ethereum Pectra. Otro ataque se hizo cargo de las cuentas de varios usuarios de Wechat y los atacó. Según SlowMist, Ethereum lideró a todos los ecosistemas en pérdidas de seguridad en la primera mitad de 2025, con plataformas DeFi

Academia Cryptopolitan: Próximamente, una nueva forma de obtener ingresos pasivos con DeFi en 2025. Obtenga más información