Populární témata
#
Bonk Eco continues to show strength amid $USELESS rally
#
Pump.fun to raise $1B token sale, traders speculating on airdrop
#
Boop.Fun leading the way with a new launchpad on Solana.
Na začátku července SlowMist vyšetřoval krádež kryptoměny způsobenou škodlivým projektem GitHub: zldp2002/solana-pumpfun-bot.
Nedávno bylo zjištěno, že podobné úložiště – audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot – krade soukromé klíče ze souborů .env a odesílá je na server ovládaný útočníkem.
🎭Tyto útoky se často opírají o sociální inženýrství. Vývojáři a uživatelé: buďte ostražití při používání neznámých nástrojů GitHubu, zejména těch, které zahrnují peněženky nebo klíče.
⚠️Spouštějte pouze v izolovaných prostředích bez citlivých dat.
✍️Úplná analýza:
4. 7. 11:53
2. července se oběť obrátila na tým SlowMist poté, co ztratila krypto aktiva. Příčina? Běží zdánlivě legitimní projekt GitHub — zldp2002/solana-pumpfun-bot.
🕳️To, co vypadalo bezpečně, se ukázalo být chytře maskovanou pastí.
Naše analýza odhalila:
1️⃣Pachatel zamaskoval škodlivý program jako legitimní open-source projekt (solana-pumpfun-bot) a lákal uživatele, aby si jej stáhli a spustili.
2️⃣Jeho umělá popularita (hvězdičky/vidličky) maskovala hrozbu – uživatelé nevědomky spustili Node.js projekt se zabudovanými škodlivými závislostmi, odhalili své soukromé klíče a ztratili aktiva. Tato kombinace sociální + technická z něj udělala velmi klamavý.
⚠️Připomínka: Nikdy slepě nedůvěřujte projektům GitHub, zejména pokud se jedná o soukromé klíče nebo peněženky.
Pokud je musíte otestovat, udělejte to v izolovaném prostředí v izolovaném prostoru bez citlivých dat.
🔗Celý článek:
#Web3Security #NodeJS #OpenSourceSecurity #GitHub
7,08K
Top
Hodnocení
Oblíbené