🟨"Finto Bot di Trading su GitHub Smascherato: Malware Ruba Criptovalute"
Giorno: 2025-07-04 | Ora: 16:35:57 Un repository GitHub si spacciava per un bot di trading di Solana, ma conteneva malware che rubava criptovalute. Gestito dall'account “zldp2002”, il progetto malevolo ha ingannato utenti con credenziali rubate. SlowMist ha scoperto che utilizzava pacchetti offuscati e controllava più account per distribuire malware. Questo attacco rappresenta una minaccia crescente per gli utenti di criptovalute.
Un repository di GitHub, che si spacciava per un legittimo bot di trading di Solana, è stato smascherato per aver nascosto un malware in grado di rubare criptovalute. Secondo un rapporto della società di sicurezza blockchain SlowMist, il repository solana-pumpfun-bot, ora eliminato, era gestito dall'account “zldp2002” e imitava uno strumento open-source reale per raccogliere le credenziali degli utenti. L'indagine è stata avviata dopo che un utente ha scoperto che i suoi fondi erano stati rubati giovedì scorso.
Il repository malevolo presentava un numero relativamente elevato di stelle e fork, mentre tutti i commit del codice erano stati effettuati circa tre settimane fa, mostrando irregolarità e un modello incoerente che, secondo SlowMist, suggeriva un progetto non legittimo. Il progetto era basato su Node.js e utilizzava il pacchetto di terze parti crypto-layout-utils come dipendenza. Dopo ulteriori controlli, è emerso che questo pacchetto era già stato rimosso dal registro ufficiale di NPM.
Il pacchetto non era più scaricabile dall'official node package manager (NPM), sollevando interrogativi su come la vittima fosse riuscita a scaricarlo. Proseguendo con le indagini, SlowMist ha scoperto che l'attaccante scaricava la libreria da un altro repository di GitHub. Dopo aver analizzato il pacchetto, è stato riscontrato che era pesantemente offuscato, rendendo più difficile l'analisi. Una volta de-offuscato, gli investigatori hanno confermato che si trattava di un pacchetto malevolo in grado di scansionare file locali e, se rilevava contenuti relativi a portafogli o chiavi private, li caricava su un server remoto.
Un'ulteriore indagine ha rivelato che l'attaccante controllava probabilmente un insieme di account GitHub, utilizzati per forkare progetti in varianti malevole, distribuendo malware e gonfiando artificialmente i conteggi di fork e stelle. Molti repository forkati presentavano caratteristiche simili, con alcune versioni che incorporavano un altro pacchetto malevolo, bs58-encrypt-utils-1.0.3, creato il 12 giugno, periodo in cui si ritiene che l'attaccante abbia iniziato a distribuire moduli NPM malevoli e progetti Node.js. Questo incidente rappresenta l'ultimo di una serie di attacchi alla catena di approvvigionamento software che prendono di mira gli utenti di criptovalute.
