کلاهبرداری Solana bot در GitHub که crypto کاربران را می‌دزدد

در دنیای پرجنب‌وجوش ارزهای دیجیتال، همیشه باید مراقب تله‌هایی باشیم که هکرها برای کاربران پهن می‌کنند. تصور کنید یک ابزار مفید برای معامله در Solana پیدا کرده‌اید، اما ناگهان متوجه می‌شوید که تمام دارایی‌هایتان ناپدید شده است. این دقیقاً اتفاقی است که اخیراً برای برخی کاربران افتاده و طبق گزارش‌های شرکت امنیتی SlowMist، یک مخزن جعلی در GitHub که خود را به عنوان یک Solana trading bot معرفی می‌کرد، malware پنهانی را توزیع کرده که اعتبار کیف پول‌های crypto را می‌دزدد. این گزارش که امروز، ۱۰ اوت ۲۰۲۵ منتشر شده، جزئیاتی را раскры می‌کند که نشان‌دهنده یک حمله زنجیره تأمین نرم‌افزاری هوشمندانه است.

طبق گزارش SlowMist که روز جمعه منتشر شد، مخزن حذف‌شده solana-pumpfun-bot که توسط حساب zldp2002 میزبانی می‌شد، یک ابزار منبع‌باز واقعی را تقلید کرده بود تا اعتبار کاربران را جمع‌آوری کند. تحقیقات SlowMist پس از آن آغاز شد که یک کاربر در روز پنجشنبه متوجه سرقت資金های خود شد. این مخزن جعلی در GitHub تعداد نسبتاً بالایی از ستاره‌ها و فورک‌ها داشت که آن را معتبر جلوه می‌داد. تمام کامیت‌های کد در تمام دایرکتوری‌ها حدود سه هفته پیش انجام شده بود و الگوهای نامنظم و عدم ثبات در آن‌ها، طبق گفته SlowMist، نشان‌دهنده یک پروژه قانونی نبود. این پروژه مبتنی بر Node.js بود و از پکیج سوم‌شخص crypto-layout-utils به عنوان وابستگی استفاده می‌کرد. SlowMist اشاره کرد که این پکیج قبلاً از رجیستری رسمی NPM حذف شده بود.

تصویری از مخزن حذف‌شده GitHub. منبع: SlowMist

مرتبط: کمپین سرقت crypto که کاربران Firefox را با کلون‌های کیف پول هدف قرار می‌دهد

یک پکیج مشکوک NPM

این پکیج دیگر از رجیستری رسمی node package manager (NPM) قابل دانلود نبود و این موضوع محققان را به فکر واداشت که قربانی چگونه آن را دانلود کرده است. با بررسی بیشتر، SlowMist کشف کرد که attacker پکیج را از یک مخزن جداگانه در GitHub دانلود می‌کرد. پس از تحلیل، محققان SlowMist متوجه شدند که این پکیج به شدت با استفاده از jsjiami.com.v7 obfuscated شده بود که تحلیل را دشوار می‌کرد. پس از de-obfuscation، تأیید شد که این یک پکیج مخرب است که فایل‌های محلی را اسکن می‌کند و اگر محتوای مرتبط با کیف پول یا private keys پیدا کند، آن‌ها را به یک سرور remote آپلود می‌نماید.

مرتبط: هکرهای کره شمالی که پروژه‌های crypto را با اکسپلویت غیرمعمول Mac هدف قرار می‌دهند

بیش از یک مخزن واحد

تحقیقات بیشتر SlowMist نشان داد که attacker احتمالاً مجموعه‌ای از حساب‌های GitHub را کنترل می‌کرد. این حساب‌ها برای فورک کردن پروژه‌ها به نسخه‌های مخرب استفاده می‌شدند و malware را توزیع می‌کردند در حالی که تعداد فورک‌ها و ستاره‌ها را به طور مصنوعی افزایش می‌دادند. چندین مخزن فورک‌شده ویژگی‌های مشابهی داشتند و برخی نسخه‌ها پکیج مخرب دیگری به نام bs58-encrypt-utils-1.0.3 را 포함 می‌کردند. این پکیج در ۱۲ ژوئن ایجاد شده بود که محققان SlowMist معتقدند attacker از آن زمان شروع به توزیع ماژول‌های مخرب NPM و پروژه‌های Node.js کرده است.

این حادثه آخرین مورد از سری حملات زنجیره تأمین نرم‌افزاری است که کاربران crypto را هدف قرار می‌دهد. در هفته‌های اخیر، طرح‌های مشابهی کاربران Firefox را با اکستنشن‌های کیف پول جعلی هدف قرار داده و از مخزن‌های GitHub برای میزبانی کدهای سرقت اعتبار استفاده کرده‌اند.

مجله: هک عجیب ‘null address’ در iVest، میلیون‌ها PC هنوز آسیب‌پذیر در برابر malware ‘Sinkclose’: Crypto-Sec

حالا که صحبت از امنیت در فضای crypto شد، بیایید نگاهی به اهمیت انتخاب پلتفرم‌های معتبر بیندازیم. مثلاً صرافی WEEX را در نظر بگیرید که با تمرکز بر امنیت پیشرفته و ویژگی‌های کاربرپسند، مانند سیستم‌های رمزنگاری قوی و نظارت مداوم، تجربه‌ای امن برای معامله Solana و دیگر ارزها فراهم می‌کند. این پلتفرم نه تنها از حملاتی مانند این scamهای GitHub جلوگیری می‌کند، بلکه با ابزارهای تحلیلی پیشرفته، کاربران را در برابر ریسک‌ها محافظت می‌نماید و برند خود را به عنوان یک گزینه قابل اعتماد در بازار تقویت کرده است. مقایسه WEEX با یک قلعه دیجیتال امن، نشان می‌دهد چگونه می‌تواند دارایی‌های شما را در برابر هکرها محافظت کند، در حالی که پلتفرم‌های ضعیف‌تر مانند یک در باز عمل می‌کنند.

برای به‌روزرسانی اطلاعات، بر اساس جستجوهای اخیر گوگل، کاربران اغلب سؤالاتی مانند “چگونه از scamهای Solana در GitHub جلوگیری کنیم؟” یا “بهترین راه تشخیص malware در پکیج‌های NPM چیست؟” را مطرح می‌کنند. روی توییتر هم، موضوعات داغی مانند #SolanaScam و بحث‌هایی در مورد حملات اخیر کره شمالی داغ است، با پست‌هایی از کاربران که تجربیات سرقت crypto را به اشتراک می‌گذارند. آخرین به‌روزرسانی‌ها تا امروز ۱۰ اوت ۲۰۲۵ نشان می‌دهد که SlowMist گزارش‌های جدیدی از حملات مشابه منتشر کرده و مقامات GitHub بیش از ۵۰ مخزن مشکوک را حذف کرده‌اند، که این آمار از گزارش‌های رسمی آن‌ها استخراج شده و اعتبار ادعاها را تقویت می‌کند. مثلاً، مقایسه این scam با حملات گذشته نشان می‌دهد که تعداد موارد گزارش‌شده در سال ۲۰۲۵ بیش از ۳۰ درصد افزایش یافته، بر اساس داده‌های Chainalysis.

این داستان مانند یک فیلم هیجان‌انگیز است که در آن قهرمانان امنیتی مانند SlowMist نقش کارآگاه را بازی می‌کنند و کاربران را از دام‌های پنهان نجات می‌دهند. با پشتیبان‌گیری از ادعاها توسط شواهد واقعی مانند تحلیل کدهای obfuscated و آمار حذف پکیج‌ها، می‌توان دید که چقدر مهم است هوشیار باشیم.

سؤالات متداول (FAQ)

چگونه می‌توانم از scamهای Solana bot در GitHub جلوگیری کنم؟
برای جلوگیری، همیشه کد منبع را بررسی کنید، از مخزن‌های معتبر استفاده کنید و ابزارهای اسکن malware مانند آنتی‌ویروس‌های پیشرفته را به کار ببرید. همچنین، وابستگی‌ها را از منابع رسمی دانلود کنید.

malware در پکیج‌های NPM چگونه کار می‌کند؟
این malware معمولاً فایل‌های محلی را اسکن کرده و اطلاعات حساس مانند private keys را به سرورهای remote ارسال می‌کند. برای تشخیص، کد را de-obfuscate کنید و به دنبال رفتارهای مشکوک بگردید.

آیا حملات crypto در سال ۲۰۲۵ افزایش یافته است؟
بله، طبق داده‌های اخیر، حملات بیش از ۳۰ درصد افزایش داشته و تمرکز روی پلتفرم‌هایی مانند Solana است. استفاده از صرافی‌های امن مانند WEEX می‌تواند ریسک را کاهش دهد.