Il Bot PumpFun di Solana si Rivela un Malware in incognito

Un progetto open-source malevolo su GitHub, travestito da bot di trading per Solana, ha compromesso i wallet degli utenti, secondo un resoconto del 2 luglio 2025 della società di cybersicurezza SlowMist.

Il progetto, chiamato “solana-pumpfun-bot”, è stato pubblicato dall’utente GitHub zldp2002 e ha rapidamente attirato l’attenzione della community. Tuttavia, invece di offrire una reale funzionalità, il bot rubava criptovalute dai wallet degli utenti in modo silenzioso, dirottando i fondi verso una piattaforma chiamata FixedFloat.

Pacchetto Falso, Danni Reali

L’indagine di SlowMist ha rivelato che il bot era costruito con Node.js e utilizzava una dipendenza sospetta chiamata “crypto-layout-utils”, non presente nei repository ufficiali di NPM. Una volta installato, questo pacchetto scansionava silenziosamente le chiavi private e i file del wallet presenti sul dispositivo dell’utente, inviandoli a un server controllato dagli aggressori, githubshadow.xyz.

Il codice del malware era pesantemente offuscato, rendendone difficile l’individuazione. L’attaccante ha inoltre duplicato più volte il progetto usando account GitHub falsi, aumentando così la diffusione del malware. Alcuni di questi fork utilizzavano un pacchetto malevolo alternativo, “bs58-encrypt-utils-1.0.3”.

L’attacco sembra essere attivo dal 12 giugno 2025 ed è stato scoperto solo dopo che una vittima ha contattato SlowMist un giorno dopo aver installato il progetto. Un’analisi on-chain post-exploit, condotta con lo strumento MistTrack di SlowMist, ha confermato che i fondi rubati sono stati indirizzati a FixedFloat.

LEGGI ANCHE: migliori altcoin su cui investire

Avvertimento degli Esperti

SlowMist ha fortemente sconsigliato di eseguire software open-source scaricato da GitHub che interagisca con wallet o chiavi private, a meno che non venga fatto in un ambiente altamente isolato. L’azienda raccomanda di evitare pacchetti sospetti o non verificati, specialmente in framework di bot crypto e strumenti di automazione.

Il caso evidenzia il crescente rischio di ingegneria sociale e di dependency hijacking nello sviluppo open-source legato alle criptovalute — e l’importanza di verificare ogni componente prima dell’esecuzione.

Leonardo Magi

Leonardo 'Leo' Magi è un writer ed esperto content strategist specializzato nel settore delle criptovalute, con una forte attenzione all'innovazione blockchain, alla DeFi e ai mercati degli asset digitali. Con oltre cinque anni di esperienza nel settore, ha collaborato con alcuni dei migliori siti di informazione e divulgazione sul mondo crypto come Cointelegraph e Cryptonomist, oltre a numerosi blog di nicchia dedicati alle criptovalute e pubblicazioni fintech.