Cómo un Bot Falso de Solana en GitHub Robó Credenciales de Billeteras Cripto

Introducción: La Amenaza de los Repositorios Maliciosos en GitHub

GitHub, la plataforma de desarrollo colaborativo más grande del mundo, se ha convertido en un objetivo clave para ciberdelincuentes que buscan engañar a desarrolladores y usuarios de criptomonedas. Recientemente, un repositorio falso bajo el nombre solana-pumpfun-bot fue descubierto robando credenciales de billeteras digitales. Este caso no es aislado: cada vez más atacantes aprovechan la confianza en el código de código abierto para distribuir malware.

El Caso del Bot Falso de Solana: ¿Qué Ocurrió?

El repositorio malicioso, alojado en la cuenta zldp2002, se hacía pasar por una herramienta legítima para operar en la plataforma Pump.fun de Solana. Sin embargo, en lugar de facilitar transacciones, el código ocultaba un malware diseñado para robar claves privadas y frases semilla de los usuarios.

Una vez ejecutado, el script malicioso extraía información sensible de las billeteras conectadas, permitiendo a los atacantes drenar los fondos sin que las víctimas se percataran. Lo más preocupante es que el repositorio lucía convincente, con documentación y ejemplos de uso, lo que facilitó su propagación entre traders menos experimentados.

La Investigación de SlowMist: Hallazgos Clave

La firma de seguridad blockchain SlowMist fue la encargada de analizar este ataque. Entre sus descubrimientos más relevantes se encuentran:

• Uso de paquetes maliciosos: El repositorio incluía una dependencia llamada crypto-layout-utils, que contenía código ofuscado para evadir detección.
• Ofuscación avanzada: El malware empleaba herramientas como jsjiami.com.v7 para dificultar su análisis.
• Eliminación de NPM: Tras ser reportado, el paquete malicioso fue retirado del registro de Node.js (NPM), pero ya había infectado a varios usuarios.

Más Allá de un Solo Repositorio: Red de Cuentas Falsas

SlowMist también descubrió que el atacante operaba múltiples cuentas en GitHub, inflando artificialmente las métricas de «stars» y «forks» para dar apariencia de legitimidad. Además, otro paquete sospechoso, bs58-encrypt-utils-1.0.3, fue creado el 12 de junio con el mismo fin: robar credenciales.

Esto sugiere una campaña coordinada para distribuir malware en el ecosistema cripto, aprovechando la popularidad de Solana y herramientas de trading automatizado.

¿Cómo Protegerse de Este Tipo de Ataques?

Para evitar caer en trampas similares, los usuarios y desarrolladores deben:

1. Verificar la autenticidad del repositorio: Revisar la reputación del autor, historial de commits y comentarios de otros usuarios.
2. Analizar el código antes de ejecutarlo: Usar herramientas como VirusTotal o escáneres de malware especializados.
3. Evitar paquetes de fuentes desconocidas: Descargar solo dependencias de proyectos oficiales o ampliamente verificados.
4. Usar billeteras con múltiples firmas: Limitar el acceso a fondos críticos.

Ataques Similares en el Ecosistema Cripto

Este no es el primer caso de malware disfrazado de herramienta útil. Recientemente, se detectaron extensiones falsas para navegadores como Firefox que robaban claves de billeteras como MetaMask. Estos ataques, conocidos como «software supply chain attacks», son cada vez más sofisticados y difíciles de detectar.

Conclusión: La Importancia de la Seguridad en GitHub

El incidente del bot falso de Solana es un recordatorio de los riesgos asociados al uso de código de terceros. Los desarrolladores deben adoptar prácticas de seguridad rigurosas, y los usuarios finales, desconfiar de herramientas que prometen ganancias fáciles.

¿Descargaste este repositorio? Revisa tus billeteras y revoca permisos a aplicaciones desconocidas. La prevención es la mejor defensa en el mundo de las criptomonedas.

¿Tienes dudas sobre cómo proteger tus activos digitales? Comparte tus preguntas en los comentarios y sigue nuestros consejos de seguridad.