La société de cybersécurité SlowMist a révélé que le projet open source « solana-pumpfun-bot » publié sur GitHub et qui a attiré l'attention de la communauté contenait un plan d'escroquerie ciblant les portefeuilles des utilisateurs. Selon les informations fournies par la société, les cryptomonnaies des utilisateurs exécutant le projet ont été volées et une partie des fonds a été transférée sur la plateforme FixedFloat.
L'incident est survenu lorsque, le 2 juillet 2025, un utilisateur victime a contacté l'équipe de SlowMist. Selon les déclarations de l'utilisateur, ses cryptomonnaies ont été volées après qu'il a commencé à utiliser le projet "zldp2002/solana-pumpfun-bot" sur GitHub un jour plus tôt.
L'analyse menée par SlowMist après l'incident a révélé que le projet était basé sur Node.js et qu'il fonctionnait avec une dépendance à un paquet tiers suspect nommé "crypto-layout-utils". Ce paquet n'est pas présent dans les registres officiels de NPM et a été retiré de la plateforme. Les examens ont révélé que des développeurs malveillants avaient modifié le lien dans le fichier package-lock.json pour inciter les utilisateurs à télécharger un logiciel malveillant.
Les experts de SlowMist ont expliqué que le paquet "crypto-layout-utils-1.3.1" téléchargé contenait des codes complexes et cachés, et qu'après analyse, ces codes avaient scanné les fichiers contenant des portefeuilles et des clés privées sur l'ordinateur de l'utilisateur, et avaient envoyé ces données à un serveur appartenant à l'attaquant nommé "githubshadow.xyz".
De plus, dans les analyses, il a été rapporté que l'utilisateur GitHub, qui serait le développeur du projet en question, contrôlait un grand nombre de faux comptes avec (zldp2002) et visait à atteindre un plus grand nombre d'utilisateurs en forkant le projet via ces comptes. Dans certains forks, un autre package NPM malveillant, "bs58-encrypt-utils-1.0.3", a été utilisé.
Après l'incident, SlowMist a détecté grâce à son outil d'analyse en chaîne nommé MistTrack que les attaquants avaient transféré une partie des cryptomonnaies volées vers la plateforme FixedFloat. On pense que l'attaque par logiciel malveillant est active depuis le 12 juin 2025.
SlowMist a déclaré que les utilisateurs doivent être extrêmement prudents avec les logiciels téléchargés à partir de plateformes de code source ouvert comme GitHub, en particulier dans les projets impliquant des clés privées ou des transactions de portefeuille. Dans les cas obligatoires, il a été recommandé d'exécuter de tels projets sur une machine isolée qui ne contient pas de données sensibles.
Voir l'original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Attention : Un nouveau virus détecté qui vide les Portefeuilles de Cryptomonnaie ! Voici le programme coupable et ce qu'il faut faire.
La société de cybersécurité SlowMist a révélé que le projet open source « solana-pumpfun-bot » publié sur GitHub et qui a attiré l'attention de la communauté contenait un plan d'escroquerie ciblant les portefeuilles des utilisateurs. Selon les informations fournies par la société, les cryptomonnaies des utilisateurs exécutant le projet ont été volées et une partie des fonds a été transférée sur la plateforme FixedFloat.
L'incident est survenu lorsque, le 2 juillet 2025, un utilisateur victime a contacté l'équipe de SlowMist. Selon les déclarations de l'utilisateur, ses cryptomonnaies ont été volées après qu'il a commencé à utiliser le projet "zldp2002/solana-pumpfun-bot" sur GitHub un jour plus tôt.
L'analyse menée par SlowMist après l'incident a révélé que le projet était basé sur Node.js et qu'il fonctionnait avec une dépendance à un paquet tiers suspect nommé "crypto-layout-utils". Ce paquet n'est pas présent dans les registres officiels de NPM et a été retiré de la plateforme. Les examens ont révélé que des développeurs malveillants avaient modifié le lien dans le fichier package-lock.json pour inciter les utilisateurs à télécharger un logiciel malveillant.
Les experts de SlowMist ont expliqué que le paquet "crypto-layout-utils-1.3.1" téléchargé contenait des codes complexes et cachés, et qu'après analyse, ces codes avaient scanné les fichiers contenant des portefeuilles et des clés privées sur l'ordinateur de l'utilisateur, et avaient envoyé ces données à un serveur appartenant à l'attaquant nommé "githubshadow.xyz".
De plus, dans les analyses, il a été rapporté que l'utilisateur GitHub, qui serait le développeur du projet en question, contrôlait un grand nombre de faux comptes avec (zldp2002) et visait à atteindre un plus grand nombre d'utilisateurs en forkant le projet via ces comptes. Dans certains forks, un autre package NPM malveillant, "bs58-encrypt-utils-1.0.3", a été utilisé.
Après l'incident, SlowMist a détecté grâce à son outil d'analyse en chaîne nommé MistTrack que les attaquants avaient transféré une partie des cryptomonnaies volées vers la plateforme FixedFloat. On pense que l'attaque par logiciel malveillant est active depuis le 12 juin 2025.
SlowMist a déclaré que les utilisateurs doivent être extrêmement prudents avec les logiciels téléchargés à partir de plateformes de code source ouvert comme GitHub, en particulier dans les projets impliquant des clés privées ou des transactions de portefeuille. Dans les cas obligatoires, il a été recommandé d'exécuter de tels projets sur une machine isolée qui ne contient pas de données sensibles.