Alerta en GitHub: Bot falso de Solana roba criptomonedas

Un supuesto bot de trading de Pump.fun en GitHub resultó ser un malware que drena billeteras.
El repositorio acumuló estrellas falsas para parecer confiable y pasar desapercibido.

¿Y si el próximo proyecto open-source que descargas termina vaciando tu wallet?

Eso fue exactamente lo que le ocurrió a un usuario el pasado 2 de julio, cuando ejecutó lo que parecía ser un bot legítimo para operar con tokens de Solana en GitHub. Lo que parecía una herramienta útil para aprovechar el boom de Pump.fun, terminó siendo una trampa sofisticada: un malware camuflado que robó sus claves privadas y vació su billetera.

Cómo funcionó el ataque

El equipo de ciberseguridad SlowMist reveló que el repositorio malicioso, llamado zldp2002/solana-pumpfun-bot, era en realidad un proyecto de Node.js que incluía dependencias maliciosas alojadas fuera del registro oficial de NPM. Esta táctica, común entre atacantes, permite evadir los controles de seguridad que protegen a los usuarios de código malicioso.

Una vez ejecutado, el script accedía a archivos del sistema local en busca de claves privadas de wallets y posteriormente las enviaba a un servidor controlado por el atacante.

Entérate de todo del acontecer cripto! 🚀 Síguenos en X: @cripto_t

Popularidad falsa: la trampa social perfecta

Para aumentar la confianza de los usuarios, el atacante infló artificialmente la reputación del proyecto en GitHub usando cuentas falsas que otorgaban estrellas y bifurcaban el repositorio. Este engaño hizo que la herramienta pareciera popular y confiable, un viejo truco del manual del ingeniero social moderno.

Según SlowMist, esta combinación de técnicas —ingeniería social más exploit técnico— es altamente efectiva y difícil de detectar para usuarios no especializados.

¡Únete a nuestro grupo de Telegram en CriptoTendencias.com y mantente al tanto de las últimas noticias y tendencias en el mundo de las criptomonedas!

Precaución máxima con GitHub y wallets

SlowMist advierte: nunca confíes ciegamente en repositorios de código abierto, especialmente si requieren interacción con claves privadas o billeteras de criptomonedas. Si se desea probar un proyecto, debe hacerse en ambientes aislados y sin datos sensibles, como máquinas virtuales o entornos sandbox.

El caso expone una vez más cómo la descentralización y el código abierto, aunque poderosos, también pueden ser utilizados como vector de ataque. La confianza no debe ser otorgada por estrellas o forks, sino por auditorías y buenas prácticas. En el mundo de las criptomonedas, la precaución técnica es tan valiosa como las claves que custodian tus activos.

Para minería en solitario: Minero SOLO SATOSHI de 1.2TH/s y busca esa recompensa por solo USD 199... hecho en Estados Unidos

¡Únete GRATIS a Binance ahora! 💥 Ahorra en comisiones para siempre y maximiza tus ganancias en criptomonedas. 🌟 ¡Regístrate hoy y lleva tus inversiones al siguiente nivel!.