Ein bösartiges Open-Source-Projekt auf GitHub, das als Solana-Handelsroboter getarnt ist, hat laut einem Bericht des Cybersecurity-Unternehmens SlowMist vom 2. Juli 2025 die Geldbörsen der Nutzer kompromittiert.
Das Projekt mit dem Namen „solana-pumpfun-bot“ wurde unter dem GitHub-Benutzer zldp2002 veröffentlicht und gewann schnell an Zugkraft in der Community. Doch anstatt echte Funktionen zu bieten, stahl der Bot unbemerkt Kryptowährungen aus den Geldbörsen der Nutzer und leitete die Gelder an eine Plattform namens FixedFloat weiter.
Die Untersuchung von SlowMist ergab, dass der Bot mit Node.js erstellt wurde und eine fragwürdige Abhängigkeit namens „crypto-layout-utils“ verwendete, die nicht in den offiziellen NPM-Repositories aufgeführt ist. Nach der Installation suchte dieses Paket unbemerkt nach privaten Schlüsseln und Brieftaschendateien auf dem Gerät des Benutzers und schickte sie an einen vom Angreifer kontrollierten Server, githubshadow.xyz.
Der Code der Malware war stark verschleiert, so dass er schwer zu erkennen war. Der Angreifer forkte das Projekt außerdem mehrfach mit gefälschten GitHub-Konten, um die Aufdeckung zu verstärken. Einige dieser Forks verwendeten ein alternatives bösartiges Paket, „bs58-encrypt-utils-1.0.3“.
Der Angriff scheint seit dem 12. Juni 2025 aktiv gewesen zu sein und wurde erst entdeckt, nachdem ein Opfer SlowMist einen Tag nach der Installation des Projekts kontaktiert hatte. Eine On-Chain-Analyse nach dem Angriff mit dem SlowMist-Tool MistTrack bestätigte, dass die gestohlenen Gelder an FixedFloat weitergeleitet wurden.
SlowMist warnt eindringlich davor, GitHub-basierte Open-Source-Software auszuführen, die mit Wallets oder privaten Schlüsseln interagiert, es sei denn, dies geschieht in einer stark isolierten Umgebung. Das Unternehmen empfiehlt, verdächtige oder nicht verifizierte Pakete zu meiden, insbesondere bei Krypto-Bot-Frameworks und Automatisierungs-Tools.
Der Fall unterstreicht das wachsende Risiko von Social Engineering und Dependency Hijacking in der Open-Source-Kryptoentwicklung – und die Wichtigkeit, jede Komponente vor der Ausführung zu überprüfen.
Einem Bericht von Fortune zufolge hat das US-Justizministerium seine Ermittlungen gegen Kraken-Mitbegründer Jesse Powell offiziell eingestellt.
Die indische Kryptobörse CoinDCX hat eine Sicherheitsverletzung in Höhe von $44 Millionen bestätigt, die eines ihrer internen Liquiditätskonten betraf.
Das britische Innenministerium bereitet sich darauf vor, einen riesigen Bestand an beschlagnahmten Kryptowährungen – Bitcoin im Wert von mindestens $7 Milliarden – zu liquidieren, so ein neuer Bericht des Telegraph.
Der Rechtsstreit zwischen dem Coin Center und dem US-Finanzministerium über die gegen Tornado Cash verhängten Sanktionen ist nach einer gemeinsamen Entscheidung, das Verfahren einzustellen, offiziell zu Ende gegangen.