Ein beliebtes Solana-Tool auf GitHub entpuppt sich als ausgeklügelte Falle. Das Projekt „Solana Pump.fun Bot“ wirkt auf den ersten Blick wie ein nützliches Hilfsmittel, doch wer es installiert, verliert schnell sein Krypto-Vermögen.
Dies enthüllt das Sicherheitsunternehmen SlowMist nach einer gründlichen Analyse des Vorfalls.
Das bösartige Projekt wurde über mehrere GitHub-Accounts verbreitet – mit künstlich aufgeblasenen Sternbewertungen und Forks, um seriös zu erscheinen. Doch im Hintergrund geschieht etwas völlig anderes: Sobald das Skript ausgeführt wird, wird die gesamte Wallet des Nutzers leergeräumt.
Solana ist erhältlich bei Bitvavo und Bybit.
Bösartige NPM-Pakete zum Wallet-Diebstahl missbraucht
Im Zentrum des Angriffs steht ein manipuliertes NPM-Paket namens „crypto layout utils“. Dieses Paket wird nicht über den offiziellen NPM-Registry heruntergeladen, sondern über einen Link zu GitHub Releases bereitgestellt. Dadurch blieb es lange unentdeckt.
Nach der Installation scannt das Paket das System gezielt nach sensiblen Dateien wie Wallets und privaten Schlüsseln. Gefundene Informationen werden sofort an einen Server der Angreifer übermittelt.
In einigen Varianten des Projekts wird zudem ein weiteres bösartiges Modul namens „bs58 encrypt utils“ eingesetzt, das nach demselben Muster funktioniert. Beide Pakete wurden gezielt entwickelt, um Krypto-Vermögen zu stehlen, und kursieren bereits seit längerer Zeit aktiv im Netz.
Gestohlene Gelder über FixedFloat gewaschen
Die Angreifer leiten die erbeuteten Coins über FixedFloat weiter – eine automatisierte Börse, die für anonyme Swaps bekannt ist. Das macht eine Rückverfolgung oder Rückgewinnung der gestohlenen Gelder nahezu unmöglich.
SlowMist warnt, dass es sich hierbei nicht um einen Einzelfall handelt, sondern um eine koordinierte Angriffskampagne mit Dutzenden GitHub-Accounts, die gemeinsam die Sichtbarkeit des Projekts steigern sollen, um Nutzer in die Falle zu locken.
Das Sicherheitsunternehmen rät zur höchsten Vorsicht beim Herunterladen unbekannter GitHub-Projekte – insbesondere bei Tools, die mit Wallets oder privaten Schlüsseln arbeiten. Solche Tools sollten nur in einer isolierten Testumgebung ohne sensible Daten ausgeführt werden.
Weitere Details und technische Analysen finden Sie im ausführlichen Bericht von SlowMist.