Solana生态再现恶意机器人:配置文件暗藏私钥窃取

2025年7月初,一名用户向安全团队求助,称其加密资产被盗。调查发现,事件源于该用户使用了托管在GitHub上的一个开源项目,触发了隐藏的盗币行为。近期又有用户因使用类似开源项目导致资产被盗。安全团队对此展开了深入分析。

静态分析

分析发现,可疑代码位于/src/common/config.rs配置文件中,主要集中在create_coingecko_proxy()方法内。该方法首先调用import_wallet()获取私钥,然后对私钥长度进行判断:

• 若小于85,打印错误信息并陷入无限循环
• 若大于85,将私钥转换为Keypair对象并封装

随后,恶意代码对一个硬编码的URL地址进行解码,得到真实地址:

代码创建HTTP客户端,将私钥转为Base58字符串,构造JSON请求体,通过POST请求将私钥发送至该URL。无论服务器返回何种结果,恶意代码都会继续运行以避免被察觉。

create_coingecko_proxy()方法还包含获取价格等正常功能来掩盖恶意行为。该方法在应用启动时被调用,位于main.rs的配置文件初始化阶段。

分析显示,攻击者服务器IP位于美国。项目在近期(2025年7月17日)进行了更新,主要更改了config.rs中的恶意URL编码。

动态分析

为直观观察盗窃过程,研究人员编写脚本生成测试用的Solana密钥对,并搭建HTTP服务器接收POST请求。将测试服务器地址编码替换原恶意地址,并用测试私钥替换.env文件中的PRIVATE_KEY。

启动恶意代码后,测试服务器成功接收到包含私钥信息的JSON数据。

总结

攻击者通过伪装合法开源项目诱导用户执行恶意代码。代码从本地读取敏感信息并传输至攻击者服务器。这类攻击常结合社会工程学手段实施。

建议开发者与用户对来源不明的GitHub项目保持警惕,尤其涉及钱包或私钥操作时。如需调试,应在隔离环境中进行,避免执行来源不明的程序和命令。