Ein bösartiges Open-Source-Projekt auf GitHub, das als Solana-Handelsroboter getarnt ist, hat laut einem Bericht des Cybersecurity-Unternehmens SlowMist vom 2. Juli 2025 die Geldbörsen der Nutzer kompromittiert.
Das Projekt mit dem Namen „solana-pumpfun-bot“ wurde unter dem GitHub-Benutzer zldp2002 veröffentlicht und gewann schnell an Zugkraft in der Community. Doch anstatt echte Funktionen zu bieten, stahl der Bot unbemerkt Kryptowährungen aus den Geldbörsen der Nutzer und leitete die Gelder an eine Plattform namens FixedFloat weiter.
Die Untersuchung von SlowMist ergab, dass der Bot mit Node.js erstellt wurde und eine fragwürdige Abhängigkeit namens „crypto-layout-utils“ verwendete, die nicht in den offiziellen NPM-Repositories aufgeführt ist. Nach der Installation suchte dieses Paket unbemerkt nach privaten Schlüsseln und Brieftaschendateien auf dem Gerät des Benutzers und schickte sie an einen vom Angreifer kontrollierten Server, githubshadow.xyz.
Der Code der Malware war stark verschleiert, so dass er schwer zu erkennen war. Der Angreifer forkte das Projekt außerdem mehrfach mit gefälschten GitHub-Konten, um die Aufdeckung zu verstärken. Einige dieser Forks verwendeten ein alternatives bösartiges Paket, „bs58-encrypt-utils-1.0.3“.
Der Angriff scheint seit dem 12. Juni 2025 aktiv gewesen zu sein und wurde erst entdeckt, nachdem ein Opfer SlowMist einen Tag nach der Installation des Projekts kontaktiert hatte. Eine On-Chain-Analyse nach dem Angriff mit dem SlowMist-Tool MistTrack bestätigte, dass die gestohlenen Gelder an FixedFloat weitergeleitet wurden.
SlowMist warnt eindringlich davor, GitHub-basierte Open-Source-Software auszuführen, die mit Wallets oder privaten Schlüsseln interagiert, es sei denn, dies geschieht in einer stark isolierten Umgebung. Das Unternehmen empfiehlt, verdächtige oder nicht verifizierte Pakete zu meiden, insbesondere bei Krypto-Bot-Frameworks und Automatisierungs-Tools.
Der Fall unterstreicht das wachsende Risiko von Social Engineering und Dependency Hijacking in der Open-Source-Kryptoentwicklung – und die Wichtigkeit, jede Komponente vor der Ausführung zu überprüfen.
Die erste Hälfte des Jahres 2025 ist laut neuen Daten mit über $2.1 Milliarden, die bei mehr als 75 verschiedenen Vorfällen gestohlen wurden, zum schädlichsten Halbjahr in der Geschichte der Kryptowährungen geworden.
Eine neue Art von Cyberangriffen breitet sich in den Kryptomedien aus, wobei statt Smart-Contract-Fehlern Pop-ups auf Websites und Wallet-Connect-Aufforderungen ausgenutzt werden.
Ein bekannter Investor der Krypto-VC-Firma Hypersphere ist Opfer einer ausgeklügelten Phishing-Attacke geworden, durch die ein erheblicher Teil seiner persönlichen Ersparnisse vernichtet wurde.
CoinMarketCap, eine der meistgenutzten Plattformen zur Verfolgung von Kryptodaten, ist Berichten zufolge mit einer Sicherheitslücke im Frontend konfrontiert, wobei mehrere Nutzer eine verdächtige Aufforderung zur Überprüfung ihrer Wallets erhalten haben.