Puntos clave de la noticia:
- SlowMist detectó que un repositorio falso en GitHub simuló ser un bot de trading de Solana y robó fondos de wallets con malware oculto en su código.
- El paquete malicioso crypto-layout-utils se descargaba desde una URL externa y escaneaba claves privadas, enviándolas a un servidor controlado por el atacante.
- SlowMist detectó que parte de los fondos robados se movió a FixedFloat y advirtió sobre la creciente sofisticación de los ataques.
Un repositorio falso en GitHub utilizado para distribuir malware puso en alerta a la comunidad cripto tras una investigación realizada por la firma de ciberseguridad SlowMist.
El caso se conoció luego de que un usuario reportara el robo de fondos desde su wallet, tras descargar y ejecutar un supuesto bot de trading para Solana, publicado en la cuenta zldp2002. La herramienta, que simulaba ser un proyecto legítimo llamado solana-pumpfun-bot, acumuló en poco tiempo una cantidad llamativa de estrellas y forks, lo que ayudó a ocultar su verdadera función.
El análisis de SlowMist reveló que el código, desarrollado en Node.js, incluía una dependencia denominada crypto-layout-utils, que había sido eliminada del registro oficial de NPM. En su lugar, el archivo package-lock.json había sido modificado para descargar esta librería desde una URL en GitHub controlada por el atacante. Tras desofuscar el paquete, los investigadores confirmaron que contenía funciones para escanear archivos locales en busca de wallets o claves privadas, y enviarlas a un servidor externo.
SlowMist Reveló que los Fondos se Transfirieron a FixedFloat
SlowMist identificó además una red de cuentas falsas en GitHub utilizadas para forkear proyectos y replicar versiones del malware, inflando sus métricas públicas para atraer más descargas. Algunos de estos forks incluían otra dependencia maliciosa, bs58-encrypt-utils-1.0.3, distribuida desde mediados de junio. Cuando este paquete fue retirado de NPM, los atacantes reemplazaron la descarga oficial por enlaces personalizados, manteniendo activo el esquema.
Con herramientas de análisis on-chain, SlowMist detectó que parte de los fondos robados fueron transferidos a la plataforma FixedFloat. La operación combinó técnicas de ingeniería social y manipulación de dependencias en proyectos open source, lo que generó que algunos usuarios desprevenidos ejecutaran sin saberlo código malicioso en sus equipos.
El caso es una prueba contundente de la enorme sofisticación de los ataques que están a la orden del día en la industria cripto. Los investigadores advirtieron sobre los riesgos de utilizar herramientas no verificadas que manipulan o gestionan activos, y recomendaron aislar entornos de prueba y revisar cuidadosamente la procedencia y las dependencias de cualquier software antes de ejecutarlo.