Un repositorio de GitHub que se hacía pasar por un bot de trading legítimo de Solana ha sido descubierto por ocultar, según se informa, malware para robar criptomonedas.
Según un informe publicado el viernes por la empresa de seguridad blockchain SlowMist, el repositorio solana-pumpfun-bot, ahora eliminado, alojado en la cuenta "zldp2002", imitaba una herramienta de código abierto real para recopilar las credenciales de los usuarios. SlowMist habría iniciado la investigación después de que un usuario descubriera que le habían robado sus fondos el jueves.
El repositorio malicioso de GitHub en cuestión contaba con "un número relativamente alto de estrellas y bifurcaciones", según SlowMist. Todas las confirmaciones de código en todos sus directorios se realizaron hace unas tres semanas, con irregularidades aparentes y una falta de patrón coherente que, según SlowMist, indicaría un proyecto legítimo.
El proyecto está basado en Node.js y utiliza el paquete de terceros crypto-layout-utils como dependencia. "Tras una inspección más detallada, descubrimos que este paquete ya había sido eliminado del registro oficial de NPM", afirmó SlowMist.
Un paquete NPM sospechoso
El paquete ya no se podía descargar desde el registro oficial del gestor de paquetes Node (NPM), lo que llevó a los investigadores a preguntarse cómo había descargado el paquete la víctima. Tras investigar más a fondo, SlowMist descubrió que el atacante estaba descargando la biblioteca desde un repositorio GitHub independiente.
Tras analizar el paquete, los investigadores de SlowMist descubrieron que estaba muy oculto con jsjiami.com.v7, lo que dificultaba su análisis. Tras descifrarlo, los investigadores confirmaron que se trataba de un paquete malicioso que escaneaba los archivos locales y, si detectaba contenido relacionado con billeteras o claves privadas, los subía a un servidor remoto.
Más de un repositorio
Las investigaciones posteriores de SlowMist revelaron que el atacante probablemente controlaba un lote de cuentas de GitHub. Estas cuentas se utilizaban para bifurcar proyectos en variantes maliciosas, distribuyendo malware mientras se inflaban artificialmente los recuentos de bifurcaciones y estrellas.
Varios repositorios bifurcados presentaban características similares, y algunas versiones incorporaban otro paquete malicioso, bs58-encrypt-utils-1.0.3. Este paquete se creó el 12 de junio, fecha en la que los investigadores de SlowMist creen que el atacante comenzó a distribuir módulos NPM y proyectos Node.js maliciosos.
El incidente es el último de una serie de ataques a la cadena de suministro de software dirigidos a usuarios de criptomonedas. En las últimas semanas, planes similares han apuntado a usuarios de Firefox con extensiones de billeteras falsas y han utilizado repositorios de GitHub para alojar código destinado a robar credenciales.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.