Um repositório no GitHub que se apresentava como um bot de negociação legítimo da Solana foi descoberto, e mal não é de hoje. Ele foi apontado por conter um malware projetado para roubar criptomoedas. O relatório, divulgado na sexta-feira pela empresa de segurança blockchain SlowMist, revelou que o repositório, chamado solana-pumpfun-bot, estava sob a conta “zldp2002” e tinha como objetivo coletar informações sensíveis dos usuários. A investigação começou depois que um usuário relatou ter perdido seus fundos na quinta-feira.
O repositório que estava no GitHub tinha um número considerável de estrelas e forks, o que pode ter enganado muita gente. Para a SlowMist, a falta de consistência e as irregularidades no código indicavam que aquilo não era um projeto legítimo. Os códigos haviam sido atualizados há cerca de três semanas, mas já apresentavam sinais de alerta.
Esse projeto usava Node.js e dependia de um pacote chamado crypto-layout-utils. Segundo a SlowMist, esse pacote foi removido do registro oficial do Node Package Manager (NPM). Isso levantou questões sobre como a vítima conseguiu baixá-lo, e a investigação mais aprofundada revelou que o invasor estava retirando a biblioteca de outro repositório no GitHub.
Um pacote NPM suspeito
A investigação continuou e, quando os pesquisadores examinaram o pacote, perceberam que ele estava altamente ofuscado utilizando o serviço jsjiami.com.v7. Quando conseguiram “desofuscar” o código, descobriram que se tratava de um pacote malicioso. Ele escaneava arquivos locais e, ao encontrar informações relacionadas a carteiras ou chaves privadas, enviava esses dados para servidores externos.
Mais de um repositório envolvido
A pesquisa da SlowMist também indicou que o invasor provavelmente gerenciava um grupo de contas no GitHub. Essas contas eram usadas para criar versões modificadas de projetos originais, transformando-as em versões maliciosas com o intuito de distribuir malware. Além disso, essas manobras tinham como objetivo inflar artificialmente a popularidade dos repositórios, através de estrelas e forks.
Vários repositórios analisados apresentavam ticks semelhantes, e some versões ainda continham outro pacote chamado bs58-encrypt-utils-1.0.3. Esse pacote foi criado em 12 de junho, a data que, segundo os pesquisadores, marca o começo da distribuição de módulos NPM maliciosos e projetos em Node.js por parte do invasor.
Esse incidente é apenas mais um capítulo em uma sequência de ataques direcionados a usuários de criptomoedas, especialmente em relação a cadeias de suprimento de software. Nas últimas semanas, diversos esquemas semelhantes têm impactado usuários do Firefox, com extensão de carteira falsas e repositórios no GitHub sendo utilizados para roubar credenciais.
