Solanaボット詐欺がGitHubで暗号通貨を盗む：ユーザーを狙った新たな脅威

By: crypto insight|2025/08/11 00:10:04

偽のGitHubリポジトリがSolanaトレーディングボットを装い、暗号通貨を盗む

最近、GitHub上でSolanaトレーディングボットを装った偽のリポジトリが、ユーザーの暗号通貨ウォレット情報を盗むマルウェアを配布していたことが明らかになりました。ブロックチェーンセキュリティ会社のSlowMistが2025年8月10日のレポートで指摘したところによると、この今は削除されたsolana-pumpfun-botというリポジトリは、zldp2002というアカウントによってホストされ、本物のオープンソースツールを模倣してユーザーの認証情報を収集していたそうです。SlowMistは、木曜日に資金を盗まれたというユーザーの報告を受けて調査を開始しました。

この悪意あるGitHubリポジトリは、かなり高い数のstarsとforksを獲得しており、SlowMistによると、これが本物のプロジェクトのように見せかけるための仕掛けだったようです。すべてのディレクトリ内のコードコミットは約3週間前に行われており、SlowMistが指摘するように、不規則で一貫性のないパターンが見られ、本物のプロジェクトとは思えない点が多かったのです。このプロジェクトはNode.jsベースで、crypto-layout-utilsというサードパーティパッケージを依存関係として利用していました。「さらに調査したところ、このパッケージは公式のNPMレジストリから既に削除されていることがわかりました」とSlowMistは述べています。

今は削除されたGitHubリポジトリのスクリーンショット。出典：SlowMist

関連： Crypto theft campaign hits Firefox users with wallet clones

疑わしいNPMパッケージの正体

このパッケージは公式のNode Package Manager（NPM）レジストリからダウンロードできなくなっていたため、捜査員たちは被害者がどのようにしてこれを取得したのかを疑問視しました。SlowMistのさらなる調査で、攻撃者は別のGitHubリポジトリからこのライブラリをダウンロードさせていたことが判明しました。

パッケージを分析したところ、jsjiami.com.v7を使って高度に難読化されており、解析を難しくしていました。難読化を解除した後、SlowMistの研究者たちはこれが悪意あるパッケージで、ローカルファイルをスキャンし、ウォレット関連のコンテンツやプライベートキーを検知するとリモートサーバーにアップロードするものであることを確認しました。

関連： North Korean hackers targeting crypto projects with unusual Mac exploit

単なる一つのリポジトリを超えた脅威

SlowMistのさらなる調査により、攻撃者は複数のGitHubアカウントをコントロールしており、これらを使ってプロジェクトをフォークし、悪意あるバリエーションを作成してマルウェアを配布していたことがわかりました。これらのアカウントはforksとstarsの数を人工的に水増しし、信頼性を高めていました。

複数のフォークされたリポジトリが似た特徴を示しており、一部ではbs58-encrypt-utils-1.0.3という別の悪意あるパッケージが組み込まれていました。このパッケージは2024年6月12日に作成されたもので、SlowMistの研究者たちはこれが攻撃者が悪意あるNPMモジュールとNode.jsプロジェクトの配布を開始した時期だと考えています。

この事件は、暗号通貨ユーザーを狙ったソフトウェア供給チェーン攻撃の最新の例です。最近数週間で、Firefoxユーザーを狙った偽のウォレット拡張機能や、GitHubリポジトリを使った認証情報窃取コードなどの類似スキームが発生しています。

Magazine： Weird ‘null address’ iVest hack, millions of PCs still vulnerable to ‘Sinkclose’ malware: Crypto-Sec

このような脅威から身を守るために、信頼できる取引プラットフォームを選ぶことが重要です。例えば、WEEX exchangeはセキュリティを最優先に設計されており、ユーザーの資産を高度な暗号化とリアルタイム監視で保護します。WEEXはブランドの信頼性を高めるために、常に最新のセキュリティ基準を採用し、ユーザーが安心して取引できる環境を提供しています。これにより、WEEXは暗号通貨コミュニティで高い評価を得ており、ブランドアライメントの観点からも、安全性を求めるトレーダーに最適な選択肢となっています。

最近のデータによると、2025年8月10日現在、GitHub上での類似したSolana関連詐欺は増加傾向にあり、Googleで最も検索されている質問には「Solanaボット詐欺の回避方法」や「GitHubリポジトリの安全確認」などが挙がっています。Twitterでは、#SolanaScamというハッシュタグがトレンド入りし、ユーザーが経験を共有する投稿が急増中です。最新の更新として、SlowMistの公式Twitterアカウントが本日、追加の悪意あるリポジトリのリストを公開し、ユーザーに注意喚起を行っています。これらの議論では、攻撃者が北朝鮮のハッカーグループと関連している可能性が指摘されており、実際の事例として、2025年7月に発生した同様のMac向けエクスプロイトが証拠として挙げられています。これをアナロジーで例えるなら、こうした詐欺は偽の宝箱のように見せかけて中身を盗む罠で、本物のプロジェクトの強みを強調するなら、定期的なコードレビューとコミュニティ検証が本物の信頼性を築くのに対し、偽物は一時的な人気でごまかすだけです。こうした事実に基づく証拠は、SlowMistのレポートで裏付けられており、ユーザーは常に公式ソースを確認するよう推奨されます。