# ソラナエコシステムに再び悪意のあるボット: コンフィグファイルに秘密鍵窃取が隠されている2025年7月初、あるユーザーがセキュリティチームに助けを求め、暗号資産が盗まれたと報告しました。調査の結果、この事件はそのユーザーがGitHubにホスティングされているオープンソースプロジェクトを使用したことに起因し、隠れた盗難行為を引き起こしました。最近、類似のオープンソースプロジェクトを使用したために資産が盗まれたユーザーもいました。セキュリティチームはこれに対して詳細な分析を行いました。! [悪意のあるロボットのSolana生態学的複製:設定ファイル隠し秘密鍵送信トラップ](https://img-cdn.gateio.im/social/moments-18e2e53ca3a5e4a8aa697fefefefe2d3dc09)## 静的解析分析の結果、疑わしいコードは/src/common/config.rsの設定ファイルにあり、主にcreate_coingecko_proxy()メソッド内に集中しています。このメソッドはまずimport_wallet()を呼び出して秘密鍵を取得し、その後秘密鍵の長さを判定します:- 85未満の場合、エラーメッセージを印刷し、無限ループに陥る- 85を超える場合は、秘密鍵をKeypairオブジェクトに変換してラップします。! [悪意のあるボットのSolana生態学的複製:設定ファイルの隠し秘密鍵トラップ](https://img-cdn.gateio.im/social/moments-1b9cc836d53854710f7ef3b8406e63ad)その後、悪意のあるコードがハードコーディングされたURLアドレスをデコードし、実際のアドレスを取得します:! [悪意のあるボットのSolana生態学的複製:設定ファイル隠し秘密鍵トラップ](https://img-cdn.gateio.im/social/moments-64fa1620b6e02f9f0babadd4ae8038be)コードはHTTPクライアントを作成し、秘密鍵をBase58文字列に変換し、JSONリクエストボディを構築し、POSTリクエストを介して秘密鍵をこのURLに送信します。サーバーがどのような結果を返そうとも、悪意のあるコードは気づかれないように実行され続けます。create_coingecko_proxy()メソッドには、悪意のある行動を隠すために価格取得などの通常の機能も含まれています。このメソッドはアプリケーション起動時に呼び出され、main.rsの設定ファイル初期化段階にあります。! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵送信トラップ](https://img-cdn.gateio.im/social/moments-453d878924f97e2f24033e4d40f0a24c)分析によると、攻撃者のサーバーIPはアメリカにあります。プロジェクトは最近(2025年7月17日)に更新され、主にconfig.rs内の悪意のあるURLエンコーディングが変更されました。! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルに隠された秘密鍵トラップ](https://img-cdn.gateio.im/social/moments-c092752ca8254c7c3dfa22bde91a954c)## 動的解析 盗難プロセスを直観的に観察するために、研究者はテスト用のソラナ秘密鍵ペアを生成するスクリプトを作成し、POSTリクエストを受け取るHTTPサーバーを構築しました。テストサーバーのアドレスを元の悪意あるアドレスに置き換え、テスト秘密鍵を.envファイル内のPRIVATE_KEYに置き換えました。! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵トラップ](https://img-cdn.gateio.im/social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78)悪意のあるコードを起動した後、テストサーバーは秘密鍵情報を含むJSONデータを正常に受信しました。! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵トラップ](https://img-cdn.gateio.im/social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177)## まとめ攻撃者は合法的なオープンソースプロジェクトを装って、ユーザーに悪意のあるコードを実行させます。コードはローカルから敏感な情報を読み取り、攻撃者のサーバーに送信します。この種の攻撃は、社会工学的手法と組み合わせて実施されることがよくあります。開発者は、特にウォレットや秘密鍵の操作に関わる場合、出所不明のGitHubプロジェクトに対してユーザーに警戒を促すことをお勧めします。デバッグが必要な場合は、隔離された環境で行い、出所不明のプログラムやコマンドを実行しないようにしてください。! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルに隠された秘密鍵トラップ](https://img-cdn.gateio.im/social/moments-64fca774c385631399844f160f2f10f6)
ソラナエコシステムに再び隠れた脅威:GitHubプロジェクトに秘密鍵窃取コードが潜んでいる
ソラナエコシステムに再び悪意のあるボット: コンフィグファイルに秘密鍵窃取が隠されている
2025年7月初、あるユーザーがセキュリティチームに助けを求め、暗号資産が盗まれたと報告しました。調査の結果、この事件はそのユーザーがGitHubにホスティングされているオープンソースプロジェクトを使用したことに起因し、隠れた盗難行為を引き起こしました。最近、類似のオープンソースプロジェクトを使用したために資産が盗まれたユーザーもいました。セキュリティチームはこれに対して詳細な分析を行いました。
! 悪意のあるロボットのSolana生態学的複製:設定ファイル隠し秘密鍵送信トラップ
静的解析
分析の結果、疑わしいコードは/src/common/config.rsの設定ファイルにあり、主にcreate_coingecko_proxy()メソッド内に集中しています。このメソッドはまずimport_wallet()を呼び出して秘密鍵を取得し、その後秘密鍵の長さを判定します:
! 悪意のあるボットのSolana生態学的複製:設定ファイルの隠し秘密鍵トラップ
その後、悪意のあるコードがハードコーディングされたURLアドレスをデコードし、実際のアドレスを取得します:
! 悪意のあるボットのSolana生態学的複製:設定ファイル隠し秘密鍵トラップ
コードはHTTPクライアントを作成し、秘密鍵をBase58文字列に変換し、JSONリクエストボディを構築し、POSTリクエストを介して秘密鍵をこのURLに送信します。サーバーがどのような結果を返そうとも、悪意のあるコードは気づかれないように実行され続けます。
create_coingecko_proxy()メソッドには、悪意のある行動を隠すために価格取得などの通常の機能も含まれています。このメソッドはアプリケーション起動時に呼び出され、main.rsの設定ファイル初期化段階にあります。
! Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵送信トラップ
分析によると、攻撃者のサーバーIPはアメリカにあります。プロジェクトは最近(2025年7月17日)に更新され、主にconfig.rs内の悪意のあるURLエンコーディングが変更されました。
! Solanaエコシステムは悪意のあるボットを再現します:構成ファイルに隠された秘密鍵トラップ
動的解析
盗難プロセスを直観的に観察するために、研究者はテスト用のソラナ秘密鍵ペアを生成するスクリプトを作成し、POSTリクエストを受け取るHTTPサーバーを構築しました。テストサーバーのアドレスを元の悪意あるアドレスに置き換え、テスト秘密鍵を.envファイル内のPRIVATE_KEYに置き換えました。
! Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵トラップ
悪意のあるコードを起動した後、テストサーバーは秘密鍵情報を含むJSONデータを正常に受信しました。
! Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵トラップ
まとめ
攻撃者は合法的なオープンソースプロジェクトを装って、ユーザーに悪意のあるコードを実行させます。コードはローカルから敏感な情報を読み取り、攻撃者のサーバーに送信します。この種の攻撃は、社会工学的手法と組み合わせて実施されることがよくあります。
開発者は、特にウォレットや秘密鍵の操作に関わる場合、出所不明のGitHubプロジェクトに対してユーザーに警戒を促すことをお勧めします。デバッグが必要な場合は、隔離された環境で行い、出所不明のプログラムやコマンドを実行しないようにしてください。
! Solanaエコシステムは悪意のあるボットを再現します:構成ファイルに隠された秘密鍵トラップ