# ソラナエコシステムに再び悪意のあるボットが出現: 設定ファイルに秘密鍵を盗む罠が隠されている2025年7月初、あるユーザーがセキュリティチームに助けを求め、暗号資産が盗まれたと報告しました。調査の結果、この事件はそのユーザーがあるコードプラットフォームにホスティングされているオープンソースプロジェクトを使用したことに起因し、隠れた盗難行為が引き起こされたことが判明しました。最近、ユーザーがaudiofilter/pumpfun-pumpswap-sniper-copy-trading-botのようなオープンソースプロジェクトを使用したために、暗号資産が盗まれる事例が発生しました。これについて、安全チームが詳細な分析を行いました。! [悪意のあるロボットのSolana生態学的複製:設定ファイル隠し秘密鍵送信トラップ](https://img-cdn.gateio.im/social/moments-18e2e53ca3a5e4a8aa697fefefefe2d3dc09)## 分析プロセス### 静的解析静的分析により、疑わしいコードが/src/common/config.rs設定ファイルにあり、主にcreate_coingecko_proxy()メソッド内に集中していることが判明しました。このメソッドはまずimport_wallet()を呼び出して秘密鍵情報を取得します。! [悪意のあるボットのSolana生態学的複製:設定ファイルの隠し秘密鍵トラップ](https://img-cdn.gateio.im/social/moments-1b9cc836d53854710f7ef3b8406e63ad)import_env_var()メソッドでは、主に.envファイルから環境変数の設定情報を取得するために使用されます。環境変数が存在しない場合、無限ループに入るため、リソースが継続的に消費されます。! [悪意のあるボットのSolana生態学的複製:設定ファイル隠し秘密鍵トラップ](https://img-cdn.gateio.im/social/moments-64fa1620b6e02f9f0babadd4ae8038be)PRIVATE_KEYなどの機密情報は.envファイルに保存されています。私鍵を取得すると、悪意のあるコードは私鍵の長さを判断します: 85未満の場合は無限ループに入ります; 85より大きい場合は、Keypairオブジェクトに変換されます。! [Solanaエコシステムは悪意のあるボットを再現します:設定ファイルの隠し秘密鍵トラップ](https://img-cdn.gateio.im/social/moments-52dfae255e511bbb7a9813af7340c52e)その後、悪意のあるコードはハードコーディングされたURLアドレスをデコードし、攻撃者のサーバーアドレスを取得します。次に、JSONリクエストボディを構築し、秘密鍵の情報をそのサーバーに送信し、同時に応答結果を無視します。! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵送信トラップ](https://img-cdn.gateio.im/social/moments-453d878924f97e2f24033e4d40f0a24c)create_coingecko_proxy()メソッドは、アプリケーションの起動時に呼び出され、設定ファイルの初期化段階に位置しています。このメソッド名は偽装されており、一定の混乱をもたらすものです。! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルに隠された秘密鍵トラップ](https://img-cdn.gateio.im/social/moments-c092752ca8254c7c3dfa22bde91a954c)分析の結果、攻撃者のサーバーIPはアメリカに位置しています。このプロジェクトは最近更新され、主な変更は設定ファイルに集中しており、攻撃者サーバーのアドレスのエンコーディングが置き換えられました。! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵トラップ](https://img-cdn.gateio.im/social/moments-f0b9ae1a79eb6ac2579c9d5fb0f0fa78)### 動的解析直感的に盗難プロセスを観察するために、安全チームはスクリプトを作成してテスト用の公開鍵と秘密鍵のペアを生成し、POSTリクエストを受信するHTTPサーバーを構築しました。! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵トラップ](https://img-cdn.gateio.im/social/moments-a6fc43e2f6cdc1c7f8ad2422b2746177)テストサーバーのアドレスエンコーディングを元の悪意のあるアドレスエンコーディングに置き換え、テスト秘密鍵を.envファイルに入力します。悪意のあるコードを起動すると、テストサーバーが秘密鍵情報を含むJSONデータを正常に受信したことが確認できます。! [Solanaエコシステムは悪意のあるボットを再現します:構成ファイルに隠された秘密鍵トラップ](https://img-cdn.gateio.im/social/moments-64fca774c385631399844f160f2f10f6)## 侵入インジケータ- IPアドレス:103.35.189.28- ドメイン名:storebackend-qpq3.onrender.com - 悪意のあるリポジトリ:audiofilter/pumpfun-pumpswap-sniper-copy-trading-botさらに、同様の実装手法を持つ複数のリポジトリが見つかりました。## まとめ攻撃者は合法的なオープンソースプロジェクトに装い、ユーザーに悪意のあるコードを実行させます。このプロジェクトはローカルの敏感情報を読み取り、盗まれた秘密鍵を攻撃者のサーバーに転送します。この種の攻撃は通常、ソーシャルエンジニアリング技術と組み合わされており、ユーザーが不注意をすると簡単に引っかかる可能性があります。開発者は、特にウォレットや秘密鍵の操作に関して、出所不明のプロジェクトに対して注意を払うことをお勧めします。デバッグが必要な場合は、機密データがない独立した環境で行い、出所不明のプログラムやコマンドを実行しないようにしてください。
ソラナエコシステムに新型秘密鍵窃取ボットが出現、オープンソースプロジェクトに潜む謎に注意
ソラナエコシステムに再び悪意のあるボットが出現: 設定ファイルに秘密鍵を盗む罠が隠されている
2025年7月初、あるユーザーがセキュリティチームに助けを求め、暗号資産が盗まれたと報告しました。調査の結果、この事件はそのユーザーがあるコードプラットフォームにホスティングされているオープンソースプロジェクトを使用したことに起因し、隠れた盗難行為が引き起こされたことが判明しました。
最近、ユーザーがaudiofilter/pumpfun-pumpswap-sniper-copy-trading-botのようなオープンソースプロジェクトを使用したために、暗号資産が盗まれる事例が発生しました。これについて、安全チームが詳細な分析を行いました。
! 悪意のあるロボットのSolana生態学的複製:設定ファイル隠し秘密鍵送信トラップ
分析プロセス
静的解析
静的分析により、疑わしいコードが/src/common/config.rs設定ファイルにあり、主にcreate_coingecko_proxy()メソッド内に集中していることが判明しました。このメソッドはまずimport_wallet()を呼び出して秘密鍵情報を取得します。
! 悪意のあるボットのSolana生態学的複製:設定ファイルの隠し秘密鍵トラップ
import_env_var()メソッドでは、主に.envファイルから環境変数の設定情報を取得するために使用されます。環境変数が存在しない場合、無限ループに入るため、リソースが継続的に消費されます。
! 悪意のあるボットのSolana生態学的複製:設定ファイル隠し秘密鍵トラップ
PRIVATE_KEYなどの機密情報は.envファイルに保存されています。私鍵を取得すると、悪意のあるコードは私鍵の長さを判断します: 85未満の場合は無限ループに入ります; 85より大きい場合は、Keypairオブジェクトに変換されます。
! Solanaエコシステムは悪意のあるボットを再現します:設定ファイルの隠し秘密鍵トラップ
その後、悪意のあるコードはハードコーディングされたURLアドレスをデコードし、攻撃者のサーバーアドレスを取得します。次に、JSONリクエストボディを構築し、秘密鍵の情報をそのサーバーに送信し、同時に応答結果を無視します。
! Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵送信トラップ
create_coingecko_proxy()メソッドは、アプリケーションの起動時に呼び出され、設定ファイルの初期化段階に位置しています。このメソッド名は偽装されており、一定の混乱をもたらすものです。
! Solanaエコシステムは悪意のあるボットを再現します:構成ファイルに隠された秘密鍵トラップ
分析の結果、攻撃者のサーバーIPはアメリカに位置しています。このプロジェクトは最近更新され、主な変更は設定ファイルに集中しており、攻撃者サーバーのアドレスのエンコーディングが置き換えられました。
! Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵トラップ
動的解析
直感的に盗難プロセスを観察するために、安全チームはスクリプトを作成してテスト用の公開鍵と秘密鍵のペアを生成し、POSTリクエストを受信するHTTPサーバーを構築しました。
! Solanaエコシステムは悪意のあるボットを再現します:構成ファイルの隠し秘密鍵トラップ
テストサーバーのアドレスエンコーディングを元の悪意のあるアドレスエンコーディングに置き換え、テスト秘密鍵を.envファイルに入力します。悪意のあるコードを起動すると、テストサーバーが秘密鍵情報を含むJSONデータを正常に受信したことが確認できます。
! Solanaエコシステムは悪意のあるボットを再現します:構成ファイルに隠された秘密鍵トラップ
侵入インジケータ
さらに、同様の実装手法を持つ複数のリポジトリが見つかりました。
まとめ
攻撃者は合法的なオープンソースプロジェクトに装い、ユーザーに悪意のあるコードを実行させます。このプロジェクトはローカルの敏感情報を読み取り、盗まれた秘密鍵を攻撃者のサーバーに転送します。この種の攻撃は通常、ソーシャルエンジニアリング技術と組み合わされており、ユーザーが不注意をすると簡単に引っかかる可能性があります。
開発者は、特にウォレットや秘密鍵の操作に関して、出所不明のプロジェクトに対して注意を払うことをお勧めします。デバッグが必要な場合は、機密データがない独立した環境で行い、出所不明のプログラムやコマンドを実行しないようにしてください。