Alerta de segurança para investidores e desenvolvedores Web3! Um novo golpe envolvendo um suposto bot de negociação da Solana no GitHub foi revelado pela empresa de cibersegurança SlowMist. O ataque resultou no roubo de criptomoedas de usuários que baixaram um repositório malicioso disfarçado de ferramenta legítima.
📌 O Que Aconteceu?
Um repositório falso, chamado solana-pumpfun-bot, foi publicado no GitHub pela conta “zldp2002”. Ele se passava por um bot de negociação legítimo da blockchain Solana, atraindo usuários com a promessa de automação em operações de criptoativos.
O problema? O projeto escondia um malware avançado, projetado para roubar credenciais de carteiras de criptomoedas e enviar os dados sigilosos a um servidor remoto controlado pelos criminosos.
Segundo a SlowMist, a investigação começou após um usuário relatar a perda de fundos após interagir com o suposto bot.
🔍 Como o Malware Funcionava?
1. Engenharia Social com Aparência Legítima
O repositório malicioso apresentava:
- Alto número de estrelas e forks no GitHub (indicando falsamente popularidade);
- Código postado em massa há cerca de três semanas, com inconsistências evidentes;
- Dependências de pacotes suspeitos, como
crypto-layout-utils, que já havia sido removido do repositório oficial do NPM.
2. Dependência Perigosa e Ofuscada
A biblioteca crypto-layout-utils, crucial para o funcionamento do “bot”, era hospedada em outro repositório GitHub. O código estava fortemente ofuscado com jsjiami.com.v7, dificultando a análise e ocultando sua verdadeira função: vasculhar arquivos locais em busca de chaves privadas ou arquivos de carteira.
Após detectar essas informações sensíveis, o malware as enviava a um servidor remoto controlado pelos golpistas.
🧪 Mais de Um Repositório Envolvido
A análise revelou que o ataque era ainda mais sofisticado do que parecia:
- Várias contas no GitHub foram usadas para criar forks maliciosos de projetos legítimos.
- Essas contas simulavam popularidade com estrelas e bifurcações artificiais.
- Em outros repositórios maliciosos, a SlowMist também encontrou um pacote adicional:
bs58-encrypt-utils-1.0.3, criado em 12 de junho de 2025 — possível data de início da campanha maliciosa.
🔒 Um Exemplo Clássico de Ataque à Cadeia de Suprimentos
Este caso se encaixa em uma crescente onda de ataques à supply chain de software, em que hackers comprometem bibliotecas, pacotes ou repositórios de código-fonte para atingir diretamente usuários finais e desenvolvedores.
A mesma tática tem sido observada em:
- Extensões falsas de carteiras para Firefox;
- Bibliotecas NPM manipuladas;
- Repositórios GitHub alterados para espionar ou roubar dados.
⚠️ Como se Proteger
- Evite instalar bots ou scripts de repositórios desconhecidos — mesmo que tenham muitos “stars” no GitHub.
- Sempre valide a origem do projeto e o histórico de contribuições.
- Desconfie de pacotes que exigem permissões incomuns ou que estão ofuscados.
- Use máquinas virtuais ou ambientes isolados para testar códigos antes de executá-los.
- Utilize soluções antivírus e ferramentas de análise de dependências para detectar bibliotecas maliciosas.
🧠 Conclusão
O caso do falso bot da Solana serve como um alerta claro: nem tudo que brilha no GitHub é ouro. Em tempos de Web3 e criptoativos, onde cada linha de código pode conter uma armadilha, a atenção aos detalhes e a validação das fontes são cruciais para manter seus ativos seguros.
Fique atento e compartilhe esta informação com outros usuários da comunidade cripto.
