2. července se oběť obrátila na tým SlowMist poté, co ztratila krypto aktiva. Příčina? Běží zdánlivě legitimní projekt GitHub — zldp2002/solana-pumpfun-bot. 🕳️To, co vypadalo bezpečně, se ukázalo být chytře maskovanou pastí. Naše analýza odhalila: 1️⃣Pachatel zamaskoval škodlivý program jako legitimní open-source projekt (solana-pumpfun-bot) a lákal uživatele, aby si jej stáhli a spustili. 2️⃣Jeho umělá popularita (hvězdičky/vidličky) maskovala hrozbu – uživatelé nevědomky spustili Node.js projekt se zabudovanými škodlivými závislostmi, odhalili své soukromé klíče a ztratili aktiva. Tato kombinace sociální + technická z něj udělala velmi klamavý. ⚠️Připomínka: Nikdy slepě nedůvěřujte projektům GitHub, zejména pokud se jedná o soukromé klíče nebo peněženky. Pokud je musíte otestovat, udělejte to v izolovaném prostředí v izolovaném prostoru bez citlivých dat. 🔗Celý článek: #Web3Security #NodeJS #OpenSourceSecurity #GitHub