Usuários da blockchain Solana foram alvo de um golpe sofisticado envolvendo um bot de negociação falso hospedado no GitHub. Disfarçado de ferramenta legítima de código aberto, o repositório malicioso — batizado de “solana-pumpfun-bot” e vinculado à conta ‘zldp2002’ — continha um malware projetado para roubar credenciais e fundos das vítimas. A fraude foi descoberta pela empresa de segurança SlowMist após um usuário relatar o roubo de criptomoedas.
O repositório falso atraiu bastante atenção, indicada por um número surpreendentemente alto de estrelas e bifurcações, o que lhe conferiu uma aparência enganosa de legitimidade. No entanto, todos os commits de código foram feitos cerca de três semanas antes de sua remoção, e a análise identificou irregularidades e padrões de desenvolvimento inconsistentes, incomuns em projetos genuínos. O bot foi desenvolvido em Node.js e dependia de um pacote de terceiros chamado crypto-layout-utils, que havia sido misteriosamente removido do registro oficial do Node Package Manager (NPM).
Os investigadores questionaram como as vítimas conseguiram baixar este pacote, já que ele não estava mais disponível pelos canais oficiais do NPM. Descobriu-se que o invasor estava disponibilizando este pacote malicioso a partir de um repositório separado do GitHub, ignorando as proteções normais do registro de pacotes. Uma inspeção mais aprofundada revelou que o pacote crypto-layout-utils estava fortemente ofuscado usando uma ferramenta chamada jsjiami.com.v7, uma técnica destinada a dificultar a análise de código. Após a desofuscação, os pesquisadores confirmaram a verdadeira intenção do pacote: ele escaneava arquivos locais na máquina do usuário em busca de dados de carteira ou chaves privadas e enviava esses detalhes confidenciais para um servidor remoto controlado pelo invasor.
A investigação mais aprofundada indicou que o invasor gerenciava várias contas, que eram usadas para criar bifurcações de vários projetos legítimos. Essas bifurcações continham variantes de código malicioso, efetivamente transformando repositórios populares em pontos de distribuição de malware. Ao aumentar artificialmente a contagem de estrelas e as bifurcações nesses repositórios, o invasor dava a ilusão de aprovação e confiabilidade da comunidade, facilitando a enganação dos usuários.
Alguns desses projetos bifurcados incorporaram outro pacote perigoso chamado bs58-encrypt-utils-1.0.3, criado em 12 de junho, marcando a data aproximada de início desta campanha maliciosa. Esse uso coordenado de módulos NPM maliciosos e projetos Node.js hospedados no GitHub sugere um ataque sofisticado à cadeia de suprimentos visando detentores de criptomoedas.
Este incidente não é isolado. Ele se encaixa em um padrão mais amplo de ataques à cadeia de suprimentos no setor de criptomoedas, onde agentes de ameaças utilizam plataformas confiáveis como o GitHub ou extensões populares de navegadores para disseminar malware. Nas últimas semanas, houve ataques semelhantes direcionados a usuários do Mozilla Firefox por meio de extensões de carteira falsas, projetadas para roubar credenciais. Essas táticas exploram a confiança dos usuários em ecossistemas de código aberto e ferramentas populares, permitindo que invasores obtenham acesso a chaves privadas e carteiras, frequentemente resultando em perdas financeiras irreversíveis.
O golpe do bot Solana destaca a necessidade urgente de usuários e desenvolvedores de criptomoedas terem cautela ao baixar ferramentas de terceiros, especialmente aquelas que prometem benefícios de negociação ou automação. Especialistas em segurança recomendam verificar a legitimidade das fontes de software, evitar pacotes obscuros e monitorar de perto as permissões solicitadas por extensões ou aplicativos. Além disso, o uso de carteiras de hardware e autenticação multifator pode adicionar camadas de defesa contra esses roubos de credenciais.
