Согласно отчёту, опубликованному компанией SlowMist, специализирующейся на безопасности блокчейна, репозиторий solana-pumpfun-bot, размещённый на аккаунте «zldp2002», использовался для распространения вредоносного ПО и кражи криптовалют.
Эксперты SlowMist начали расследование в отношении бота после того, как в один из пользователей обнаружил, что его средства были украдены. Они выяснили, что поддельный проект основан на Node. js и использует сторонний пакет crypto-layout-utils.
При дальнейшем изучении мы обнаружили, что этот пакет уже был удалён из официального реестра NPM, — сообщили в SlowMist.
Скриншот удалённого репозитория GitHub
Пакет больше нельзя было загрузить из официального реестра менеджера пакетов Node (NPM), что заставило экспертов из SlowMist задуматься о том, как обратившаяся к ним жертва смогла загрузить пакет.
В ходе дальнейшего расследования они обнаружили, что злоумышленник загружал библиотеку из отдельного репозитория GitHub, где у него, скорее всего, было сразу несколько учётных записей. Мошенник использовал их для создания вредоносных форков своих проектов, распространения хакерского программного обеспечения и накрутки количества форков и звёзд.