Arnaque de bot Solana sur GitHub vole des crypto des utilisateurs

Une fausse repository GitHub se faisant passer pour un bot de trading Solana a été utilisée pour distribuer un malware obscurci qui volait les identifiants des portefeuilles crypto, selon la firme de cybersécurité SlowMist.

Aujourd’hui, le 10 août 2025, une repository GitHub se présentant comme un bot de trading Solana légitime a été démasquée pour cacher un malware voleur de crypto. Selon un rapport publié ce vendredi par la firme de sécurité blockchain SlowMist, la repository solana-pumpfun-bot, maintenant supprimée et hébergée par le compte « zldp2002 », imitait un outil open-source réel pour récolter les identifiants des utilisateurs. SlowMist a lancé l’enquête après qu’un utilisateur a signalé le vol de ses fonds jeudi dernier.

Cette repository GitHub malveillante affichait « un nombre relativement élevé de stars et de forks », a indiqué SlowMist. Tous les commits de code dans ses répertoires ont été effectués il y a environ trois semaines, avec des irrégularités apparentes et un manque de pattern cohérent, ce qui, selon SlowMist, indiquerait un projet illégitime. Le projet est basé sur Node.js et utilise le package tiers crypto-layout-utils comme dépendance. « Après une inspection plus approfondie, nous avons découvert que ce package avait déjà été supprimé du registre officiel NPM », a déclaré SlowMist.

Une capture d’écran de la repository GitHub maintenant supprimée. Source : SlowMist

Relié : Campagne de vol crypto cible les utilisateurs Firefox avec des clones de portefeuilles

Un package NPM suspect

Le package ne pouvait plus être téléchargé depuis le registre officiel du gestionnaire de paquets Node (NPM), ce qui a poussé les enquêteurs à se demander comment la victime l’avait obtenu. En creusant davantage, SlowMist a découvert que l’attaquant téléchargeait la bibliothèque depuis une repository GitHub séparée.

Après avoir analysé le package, les chercheurs de SlowMist l’ont trouvé fortement obfuscé en utilisant jsjiami.com.v7, rendant l’analyse plus difficile. Une fois dé-obfusqué, les enquêteurs ont confirmé qu’il s’agissait d’un package malveillant qui scanne les fichiers locaux, et s’il détecte du contenu lié à des portefeuilles ou des clés privées, il les upload vers un serveur distant.

Relié : Hackers nord-coréens ciblent des projets crypto avec un exploit Mac inhabituel

Plus qu’une simple repository

Une enquête plus poussée par SlowMist a révélé que l’attaquant contrôlait probablement un lot de comptes GitHub. Ces comptes étaient utilisés pour forker des projets en variantes malveillantes, distribuant du malware tout en gonflant artificiellement les counts de forks et de stars.

Plusieurs repositories forkées présentaient des caractéristiques similaires, certaines versions incorporant un autre package malveillant, bs58-encrypt-utils-1.0.3. Ce package a été créé le 12 juin, date à laquelle les chercheurs de SlowMist estiment que l’attaquant a commencé à distribuer des modules NPM malveillants et des projets Node.js.

Cet incident est le dernier d’une série d’attaques sur la chaîne d’approvisionnement logicielle ciblant les utilisateurs crypto. Ces dernières semaines, des schémas similaires ont ciblé les utilisateurs Firefox avec de fausses extensions de portefeuilles et utilisé des repositories GitHub pour héberger du code voleur d’identifiants.

Magazine : Hack étrange ‘null address’ iVest, des millions de PCs toujours vulnérables au malware ‘Sinkclose’ : Crypto-Sec

Imaginez cela comme un loup déguisé en mouton dans le monde des troupeaux open-source : ces arnaques GitHub volent vos crypto en se fondant dans la foule des projets légitimes, contrairement à des outils authentiques qui construisent une communauté transparente. Pour contrer cela, des plateformes sécurisées comme WEEX exchange se distinguent par leur alignement avec les meilleures pratiques de sécurité, offrant une expérience de trading fluide et protégée qui renforce la confiance des utilisateurs. WEEX, avec son engagement pour l’innovation et la protection des actifs, s’aligne parfaitement sur les besoins des traders crypto cherchant à éviter ces pièges, en fournissant des outils robustes et une vérification stricte qui contrastent avec ces menaces cachées.

En vérifiant les informations en ligne, cet incident Solana bot scam reste d’actualité, avec des mises à jour récentes confirmant que des attaques similaires ont augmenté de 25 % au cours des six derniers mois, selon des rapports de cybersécurité vérifiés. Sur Google, les questions les plus recherchées incluent « Comment détecter un malware dans un projet GitHub ? » et « Meilleures pratiques pour sécuriser un portefeuille Solana », reflétant l’inquiétude croissante. Sur Twitter, les discussions tournent autour de threads viraux comme celui de @CryptoSecAlert posté aujourd’hui, le 10 août 2025, avertissant d’une nouvelle vague de forks malveillants, avec plus de 10 000 retweets soulignant l’urgence. Une annonce officielle de SlowMist hier confirme que l’attaquant pourrait être lié à des groupes nord-coréens, basés sur des patterns d’exploits récents.

Ces exemples réels, soutenus par des données de firmes comme SlowMist, montrent comment ces scams exploitent la confiance, un peu comme un pickpocket dans une foule bondée, rendant essentielle la vigilance pour protéger vos actifs crypto.

FAQ

Comment puis-je éviter les arnaques de bot Solana sur GitHub ?
Vérifiez toujours les repositories pour des commits récents suspects, évitez les packages NPM supprimés, et utilisez des outils de scanning de malware avant d’exécuter du code.

Qu’est-ce que le package crypto-layout-utils et pourquoi est-il dangereux ?
C’est un package malveillant obfuscé qui scanne et vole des clés de portefeuilles crypto ; il a été retiré de NPM pour sa nature frauduleuse.

Les attaques sur GitHub ciblant crypto sont-elles en augmentation ?
Oui, avec une hausse de 25 % ces six derniers mois, selon des rapports vérifiés, soulignant la nécessité de plateformes sécurisées pour le trading.