Solana生态再现恶意机器人:配置文件隐藏私钥泄露陷阱

2025年7月初,一名用户向安全团队求助,请求分析其加密资产被盗原因。调查发现,事件源于该用户使用了一个托管在GitHub上的开源项目,触发了隐藏的盗币行为。

近期,又有用户因使用类似的开源项目导致资产被盗,并联系安全团队。对此,团队进一步深入分析了该攻击手法。

分析过程

静态分析

通过静态分析,发现可疑代码位于/src/common/config.rs配置文件中,主要集中在create_coingecko_proxy()方法内。该方法首先调用import_wallet(),进而调用import_env_var()来获取私钥。

import_env_var()方法用于获取.env文件中的环境变量配置信息。如果环境变量不存在,会进入错误处理分支并持续消耗资源。

PRIVATE_KEY等敏感信息存储在.env文件中。import_wallet()方法获取私钥后,会对其长度进行判断:

• 若小于85,打印错误信息并持续消耗资源
• 若大于85,将Base58字符串转换为包含私钥的Keypair对象

随后,恶意代码对私钥信息进行封装以支持多线程共享。

create_coingecko_proxy()方法在获取私钥后,对恶意URL地址进行解码。解码后的真实地址为:

恶意代码将私钥转换为Base58字符串,构造JSON请求体,通过POST请求发送至上述URL,同时忽略响应结果。

此外,该方法还包含获取价格等正常功能,用以掩盖恶意行为。方法名称也经过伪装,具有迷惑性。

create_coingecko_proxy()方法在应用启动时被调用,位于main.rs中main()方法的配置文件初始化阶段。

据分析,该服务器的IP地址位于美国。

该项目在GitHub上于2025年7月17日进行了更新,主要更改集中在src目录下的配置文件config.rs中。攻击者服务器地址的编码被替换为新的编码。

动态分析

为直观观察盗窃过程,编写Python脚本生成测试用的Solana公私钥对,并在服务器上搭建HTTP服务器接收POST请求。

将生成的测试服务器地址编码替换原攻击者设置的恶意服务器地址编码,并将.env文件中的私钥替换为测试私钥。

启动恶意代码后,测试服务器成功接收到了恶意项目发送的JSON数据,其中包含私钥信息。

入侵指标(IoCs)

IP地址:103.35.189.28

域名:storebackend-qpq3.onrender.com

恶意仓库:

类似实现手法的其他仓库:

总结

本次攻击中,攻击者通过伪装成合法开源项目,诱导用户下载并执行恶意代码。该项目会读取本地.env文件中的敏感信息,并将盗取的私钥传输至攻击者控制的服务器。这类攻击通常结合社会工程学技术,用户稍有不慎便可能中招。

建议开发者与用户对来路不明的GitHub项目保持高度警惕,尤其是涉及钱包或私钥操作时。如需运行或调试,建议在独立且无敏感数据的环境中进行,避免执行来源不明的恶意程序和命令。