Een populaire Solana tool op GitHub blijkt in werkelijkheid een slimme valstrik te zijn. Het project “Solana Pump.fun bot” lijkt op het eerste gezicht een handig hulpmiddel, maar wie het installeert, raakt al snel zijn crypto kwijt.
Dit onthult beveiligingsbedrijf SlowMist na een grondige analyse van het incident.
Het kwaadaardige project is via meerdere GitHub accounts verspreid, compleet met kunstmatig opgeblazen sterren en forks om betrouwbaar over te komen. Maar achter de schermen gebeurt iets totaal anders: zodra het script wordt uitgevoerd, wordt jouw hele wallet geplunderd.
Solana is verkrijgbaar bij Bitvavo en Bybit.
Kwaadaardige NPM pakketten misbruikt om wallets te stelen
De aanval draait om een malafide NPM package genaamd “crypto layout utils”. Dit pakket wordt niet gedownload via de officiële NPM bron, maar via een link naar GitHub Releases. Hierdoor bleef het lange tijd onder de radar.
Eenmaal binnen op je systeem scant het pakket je computer op gevoelige bestanden, zoals wallets en privé sleutels. Gevonden informatie wordt direct doorgestuurd naar een server in handen van de aanvallers.
Daarnaast blijkt dat sommige varianten van het project een andere kwaadaardige module gebruiken, “bs58 encrypt utils”, die op een vergelijkbare manier werkt. Beide pakketten zijn speciaal gemaakt om crypto te stelen en zijn al geruime tijd actief verspreid.
Gestolen fondsen via FixedFloat witgewassen
Na het stelen van de crypto sturen de aanvallers de buitgemaakte coins naar FixedFloat, een geautomatiseerde exchange die bekend staat om anonieme swaps. Dit maakt het extra lastig om de fondsen te traceren of terug te krijgen.
Volgens SlowMist is dit geen losstaande actie, maar een gecoördineerde aanval met tientallen GitHub accounts die samen zorgen voor meer zichtbaarheid van het project. Zo proberen ze nietsvermoedende gebruikers te misleiden.
Het beveiligingsbedrijf adviseert om extra voorzichtig te zijn met onbekende GitHub projecten, zeker als het gaat om tools die met wallets of privé sleutels werken. Test dergelijke tools altijd in een veilige, geïsoleerde omgeving zonder waardevolle data.
Meer details en technische analyse vind je in het uitgebreide rapport van SlowMist.