SlowMist 在 GitHub 上發現“Solana-pumpfun-bot”含有代幣盜竊陷阱

調查始於2025年7月2日，一名受害者聯繫慢霧安全團隊，尋求幫助分析其錢包資產被盜的原因。

此次事件的起因是他前一天利用託管在GitHub上的一個開源項目，導致加密資產被盜。 SloWMist聲明被盜資金正在轉移到 FixedFloat 交易所。

項目作者是主要嫌疑人

為了實施攻擊，黑客偽裝成官方開源項目 (Solana-pumpfun-bot)，誘騙用戶下載並運行惡意代碼。 調查過程中發現，一個名為“crypto-layout-utils”的可疑依賴包已從官方 NPM 源中刪除。

黑客隨後上傳了該軟件的惡意版本來代替原始下載URL。 它在受害者的電腦上搜索與錢包相關的文件後，將敏感數據發送到攻擊者控制的服務器。

調查還發現，該項目作者涉嫌控制多個 GitHub 賬戶。 這些賬戶被用於 fork 惡意項目、分發惡意程序以及人為抬高項目知名度。 我們還發現了多個存在類似惡意行為的 fork 項目，其中一些使用了另一個惡意軟件包“bs58-encrypt-utils”。

整個攻擊鏈涉及多個 GitHub 賬戶協同運作，擴大了傳播範圍，增強了可信度，且極具欺騙性。 同時，此次攻擊同時運用了社會工程學和技術手段，在組織內部難以完全防禦。

該惡意活動被認為始於 2025 年 6 月 12 日。 此時攻擊者創建了惡意軟件包“bs58-encrypt-utils”。

加密黑客攻擊並沒有取得太大進展，只是變得更加狡猾

Slowmist 表示，加密貨幣黑客攻擊技術雖然沒有太大進步，但手段卻更加狡猾。 Slowmist 的運營主管 Lisa 表示，說在該公司第二季度 MistTrack 被盜資金分析報告中，儘管黑客技術沒有取得進展，但詐騙行為已經變得更加成熟.

有一個上昇在虛假瀏覽器擴展、被篡改的硬件錢包和社會工程攻擊中。 “我們看到了從純粹的鏈上攻擊到鏈下入口點的明顯轉變——瀏覽器擴展、社交媒體帳戶、身份驗證流程和用戶行為都成為常見的攻擊面，”麗莎說道。

例如，攻擊者會引導用戶訪問 Notion 或 ZoOM 等知名且常用的網站。 當用戶嘗試從這些官方網站下載軟件時，所下載的文件已被惡意替換。

另一種方式是黑客向用戶發送一個被入侵的冷錢包。 他們會告訴受害者，他們在“抽獎”中贏得了一個免費設備，或者告訴他們現有的設備已被入侵，需要轉移資產。 更妙的是，黑客還會植入虛假網站。

最後的打擊通常是操縱。 攻擊者知道，像‘檢測到風險簽名’這樣的短語會引發恐慌，促使用戶採取草率的行動。 一旦觸發這種情緒狀態，就更容易操縱他們做出通常不會做的事情——比如點擊鏈接或分享敏感信息。 麗莎說道。

其他攻擊則利用了黑客手段EIP-7702，該功能已添加到最新版本的以太坊 Pectra 中。 另一次攻擊接管了多個微信用戶的賬戶，並將其作為攻擊目標。 根據 SlowMist 的數據，以太坊在 2025 年上半年的安全損失在所有生態系統中位居榜首，DeFi 平台損失約 4.7 億美元。

Cryptopolitan Academy：即將推出 - 2025 年利用 DeFi 賺取被動收入的新方式。 了解更多