На хостинг-платформе обнаружены репозитории со скрытым вредоносным кодом, который передает хакерам ключи от криптовалютных кошельков

Как использовать GitHub и не потерять криптовалюту. Гайд для разработчиков

04.07.2025

471

5 мин

Хакеры научились использовать крупнейшую IT хостинг-платформу GitHub для скрытого распространения вредоносного кода и похищения цифровых активов. GetBlock AML Research показывает на конкретном примере, почему разработчикам стоит быть осторожнее.

Ранее на GitHub можно было обнаружить репозиторий zldp2002/solana-pumpfun-bot, который содержал исходный код бота для автоматизации сделок на популярном лаунчпаде Pumpfun. Однако пользователи, использующие этот исходный код, потеряли криптовалюту, хранившуюся на их кошельках. Это произошло из-за того, что в исходном коде были спрятаны вредоносные элементы, которые может не заметить даже опытный разработчик.

Репозиторий с вредоносным кодом на GitHub

Как скрывают вредоносный код

Ссылка на вредоносный внешний пакет crypto-layout-utils

Проект solana-pumpfun-bot построен на Node.js и ссылается на подозрительный внешний пакет crypto-layout-utils. Этот пакет уже был удален из официального реестра NPM. Далее в файле package-lock.json файле был обнаружен еще один подозрительный признак: автор проекта заменил ссылку на источник NPM crypto-layout-utils на другой URL-адрес (не загружайте вредоносный файл!).

[Фото №3. Измененная ссылка на загрузку вредоносного пакета в файле package-lock.json]

Код пакета crypto-layout-utils зашифрован, поэтому его нельзя просто прочесть. После дешифровки становится ясно, что этот код используется для сканирования устройства разработчика на наличие криптовалютных кошельков и дальнейшей кражи активов. Вся конфиденциальная информация, которая обнаруживалась на устройстве жертвы, передавалась на сервер хакера — githubshadow.xyz.

Профиль автора репозитория

Анализ профиля автора проекта показывает, что он контролировал партию аккаунтов, которые распространяли репозитории с вредоносными кодом. Также эти учетные записи накручивали рейтинг вредоносных репозиториев.

Обнаруженные вредоносные репозитории

2723799947qq2022/solana-pumpfun-bot

2kwkkk/solana-pumpfun-bot

790659193qqch/solana-pumpfun-bot

7arlystar/solana-pumpfun-bot

918715c83/solana-pumpfun-bot

AmirhBeigi7zch6f/solana-pumpfun-bot

asmaamohamed0264/solana-pumpfun-bot

bog-us/solana-pumpfun-bot

edparker89/solana-pumpfun-bot

ii4272/solana-pumpfun-bot

ijtye/solana-pumpfun-bot

iwanjunaids/solana-pumpfun-bot

janmalece/solana-pumpfun-bot

kay2x4/solana-pumpfun-bot

lan666as2dfur/solana-pumpfun-bot

loveccat/solana-pumpfun-bot

lukgria/solana-pumpfun-bot

mdemetrial26rvk9w/solana-pumpfun-bot

oumengwas/solana-pumpfun-bot

pangxingwaxg/solana-pumpfun-bot

Rain-Rave5/solana-pumpfun-bot

wc64561673347375/solana-pumpfun-bot

wj6942/solana-pumpfun-bot

xnaotutu77765/solana-pumpfun-bot

yvagSirKt/solana-pumpfun-bot

VictorVelea/solana-copy-bot

Morning-Star213/Solana-pumpfun-bot

warp-zara/solana-trading-bot

harshith-eth/quant-bot

Подписывайтесь на Getblock Magazine и будьте всегда в курсе последних новостей из мира криптовалют и цифровой экономики