Das Projekt mit dem Namen \u201esolana-pumpfun-bot\u201c wurde unter dem GitHub-Benutzer zldp2002 ver\u00f6ffentlicht und gewann schnell an Zugkraft in der Community. Doch anstatt echte Funktionen zu bieten, stahl der Bot unbemerkt Kryptow\u00e4hrungen aus den Geldb\u00f6rsen der Nutzer und leitete die Gelder an eine Plattform namens FixedFloat weiter.<\/p>\n
Die Untersuchung von SlowMist ergab, dass der Bot mit Node.js erstellt wurde und eine fragw\u00fcrdige Abh\u00e4ngigkeit namens \u201ecrypto-layout-utils\u201c verwendete, die nicht in den offiziellen NPM-Repositories aufgef\u00fchrt ist. Nach der Installation suchte dieses Paket unbemerkt nach privaten Schl\u00fcsseln und Brieftaschendateien auf dem Ger\u00e4t des Benutzers und schickte sie an einen vom Angreifer kontrollierten Server, githubshadow.xyz.<\/p>\n
Der Code der Malware war stark verschleiert, so dass er schwer zu erkennen war. Der Angreifer forkte das Projekt au\u00dferdem mehrfach mit gef\u00e4lschten GitHub-Konten, um die Aufdeckung zu verst\u00e4rken. Einige dieser Forks verwendeten ein alternatives b\u00f6sartiges Paket, \u201ebs58-encrypt-utils-1.0.3\u201c.<\/p>\n
Der Angriff scheint seit dem 12. Juni 2025 aktiv gewesen zu sein und wurde erst entdeckt, nachdem ein Opfer SlowMist einen Tag nach der Installation des Projekts kontaktiert hatte. Eine On-Chain-Analyse nach dem Angriff mit dem SlowMist-Tool MistTrack best\u00e4tigte, dass die gestohlenen Gelder an FixedFloat weitergeleitet wurden.<\/p>\n