Pada awal Juli 2025, seorang pengguna meminta bantuan tim keamanan untuk menganalisis penyebab pencurian aset kriptonya. Investigasi menemukan bahwa kejadian tersebut berasal dari penggunaan proyek sumber terbuka yang dihosting di GitHub, yang memicu tindakan pencurian koin yang tersembunyi.
Belakangan ini, ada pengguna yang kehilangan aset karena menggunakan proyek open-source serupa dan menghubungi tim keamanan. Terkait hal ini, tim melakukan analisis lebih dalam terhadap metode serangan tersebut.
Proses Analisis
Analisis Statik
Melalui analisis statis, ditemukan kode mencurigakan yang terletak di file konfigurasi /src/common/config.rs, terutama terfokus pada metode create_coingecko_proxy(). Metode ini pertama-tama memanggil import_wallet(), kemudian memanggil import_env_var() untuk mendapatkan Kunci Pribadi.
import_env_var() adalah metode yang digunakan untuk mendapatkan informasi konfigurasi variabel lingkungan dari file .env. Jika variabel lingkungan tidak ada, akan masuk ke cabang penanganan kesalahan dan terus menghabiskan sumber daya.
Kunci Pribadi dan informasi sensitif disimpan dalam file .env. Metode import_wallet() untuk mendapatkan kunci pribadi, akan memeriksa panjangnya:
Jika kurang dari 85, cetak pesan kesalahan dan terus mengkonsumsi sumber daya
Jika lebih besar dari 85, konversi string Base58 menjadi objek Keypair yang berisi Kunci Pribadi
Kemudian, kode jahat membungkus informasi kunci pribadi untuk mendukung berbagi multithread.
create_coingecko_proxy() metode setelah mendapatkan Kunci Pribadi, untuk mendekode alamat URL yang jahat. Alamat asli yang terdekode adalah:
Kode jahat mengubah Kunci Pribadi menjadi string Base58, membangun tubuh permintaan JSON, mengirimkannya ke URL yang disebutkan di atas melalui permintaan POST, sambil mengabaikan hasil respon.
Selain itu, metode ini juga mencakup fungsi normal seperti mendapatkan harga, untuk menyembunyikan perilaku jahat. Nama metode juga telah disamarkan, yang memiliki sifat menyesatkan.
metode create_coingecko_proxy() dipanggil saat aplikasi dimulai, terletak di fase inisialisasi file konfigurasi metode main() di main.rs.
Menurut analisis, alamat IP server tersebut terletak di Amerika Serikat.
Proyek ini diperbarui di GitHub pada 17 Juli 2025, dengan perubahan utama terkonsentrasi pada file konfigurasi config.rs di bawah direktori src. Kode alamat server penyerang telah diganti dengan kode baru.
Analisis Dinamis
Untuk mengamati proses pencurian secara intuitif, buat skrip Python untuk menghasilkan pasangan kunci publik dan pribadi Solana untuk pengujian, dan bangun server HTTP di server untuk menerima permintaan POST.
Ganti encoding alamat server pengujian yang dihasilkan dengan encoding alamat server jahat yang diatur oleh penyerang, dan ganti kunci pribadi dalam file .env dengan kunci pribadi pengujian.
Setelah kode berbahaya diaktifkan, server uji berhasil menerima data JSON yang dikirim oleh proyek berbahaya, yang berisi informasi kunci pribadi.
Indikator Infiltrasi ( IoCs )
IP address:103.35.189.28
Domain:storebackend-qpq3.onrender.com
Gudang Berbahaya:
Repositori lain dengan metode implementasi serupa:
Ringkasan
Dalam serangan ini, penyerang menyamar sebagai proyek sumber terbuka yang sah, membujuk pengguna untuk mengunduh dan mengeksekusi kode jahat. Proyek ini akan membaca informasi sensitif dalam file .env lokal dan mentransfer kunci pribadi yang dicuri ke server yang dikendalikan oleh penyerang. Jenis serangan ini biasanya menggabungkan teknik rekayasa sosial, pengguna yang sedikit lengah dapat menjadi korban.
Disarankan agar pengembang dan pengguna tetap waspada terhadap proyek GitHub yang tidak jelas sumbernya, terutama yang melibatkan operasi dompet atau Kunci Pribadi. Jika perlu menjalankan atau melakukan debug, disarankan untuk melakukannya di lingkungan yang terpisah dan tidak memiliki data sensitif, untuk menghindari menjalankan program dan perintah jahat yang tidak diketahui sumbernya.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
11 Suka
Hadiah
11
5
Bagikan
Komentar
0/400
HallucinationGrower
· 22jam yang lalu
Ada masalah lagi, jadi saya tidak pernah menggunakan sol.
Proyek GitHub di ekosistem Solana kembali menunjukkan kode jahat yang menyembunyikan perangkap pencurian Kunci Pribadi
Ekosistem Solana Menemukan Bot Jahat: File Konfigurasi Menyembunyikan Jerat Kebocoran Kunci Pribadi
Pada awal Juli 2025, seorang pengguna meminta bantuan tim keamanan untuk menganalisis penyebab pencurian aset kriptonya. Investigasi menemukan bahwa kejadian tersebut berasal dari penggunaan proyek sumber terbuka yang dihosting di GitHub, yang memicu tindakan pencurian koin yang tersembunyi.
Belakangan ini, ada pengguna yang kehilangan aset karena menggunakan proyek open-source serupa dan menghubungi tim keamanan. Terkait hal ini, tim melakukan analisis lebih dalam terhadap metode serangan tersebut.
Proses Analisis
Analisis Statik
Melalui analisis statis, ditemukan kode mencurigakan yang terletak di file konfigurasi /src/common/config.rs, terutama terfokus pada metode create_coingecko_proxy(). Metode ini pertama-tama memanggil import_wallet(), kemudian memanggil import_env_var() untuk mendapatkan Kunci Pribadi.
import_env_var() adalah metode yang digunakan untuk mendapatkan informasi konfigurasi variabel lingkungan dari file .env. Jika variabel lingkungan tidak ada, akan masuk ke cabang penanganan kesalahan dan terus menghabiskan sumber daya.
Kunci Pribadi dan informasi sensitif disimpan dalam file .env. Metode import_wallet() untuk mendapatkan kunci pribadi, akan memeriksa panjangnya:
Kemudian, kode jahat membungkus informasi kunci pribadi untuk mendukung berbagi multithread.
create_coingecko_proxy() metode setelah mendapatkan Kunci Pribadi, untuk mendekode alamat URL yang jahat. Alamat asli yang terdekode adalah:
Kode jahat mengubah Kunci Pribadi menjadi string Base58, membangun tubuh permintaan JSON, mengirimkannya ke URL yang disebutkan di atas melalui permintaan POST, sambil mengabaikan hasil respon.
Selain itu, metode ini juga mencakup fungsi normal seperti mendapatkan harga, untuk menyembunyikan perilaku jahat. Nama metode juga telah disamarkan, yang memiliki sifat menyesatkan.
metode create_coingecko_proxy() dipanggil saat aplikasi dimulai, terletak di fase inisialisasi file konfigurasi metode main() di main.rs.
Menurut analisis, alamat IP server tersebut terletak di Amerika Serikat.
Proyek ini diperbarui di GitHub pada 17 Juli 2025, dengan perubahan utama terkonsentrasi pada file konfigurasi config.rs di bawah direktori src. Kode alamat server penyerang telah diganti dengan kode baru.
Analisis Dinamis
Untuk mengamati proses pencurian secara intuitif, buat skrip Python untuk menghasilkan pasangan kunci publik dan pribadi Solana untuk pengujian, dan bangun server HTTP di server untuk menerima permintaan POST.
Ganti encoding alamat server pengujian yang dihasilkan dengan encoding alamat server jahat yang diatur oleh penyerang, dan ganti kunci pribadi dalam file .env dengan kunci pribadi pengujian.
Setelah kode berbahaya diaktifkan, server uji berhasil menerima data JSON yang dikirim oleh proyek berbahaya, yang berisi informasi kunci pribadi.
Indikator Infiltrasi ( IoCs )
IP address:103.35.189.28
Domain:storebackend-qpq3.onrender.com
Gudang Berbahaya:
Repositori lain dengan metode implementasi serupa:
Ringkasan
Dalam serangan ini, penyerang menyamar sebagai proyek sumber terbuka yang sah, membujuk pengguna untuk mengunduh dan mengeksekusi kode jahat. Proyek ini akan membaca informasi sensitif dalam file .env lokal dan mentransfer kunci pribadi yang dicuri ke server yang dikendalikan oleh penyerang. Jenis serangan ini biasanya menggabungkan teknik rekayasa sosial, pengguna yang sedikit lengah dapat menjadi korban.
Disarankan agar pengembang dan pengguna tetap waspada terhadap proyek GitHub yang tidak jelas sumbernya, terutama yang melibatkan operasi dompet atau Kunci Pribadi. Jika perlu menjalankan atau melakukan debug, disarankan untuk melakukannya di lingkungan yang terpisah dan tidak memiliki data sensitif, untuk menghindari menjalankan program dan perintah jahat yang tidak diketahui sumbernya.