Tendencias del momento
#
Bonk Eco continues to show strength amid $USELESS rally
#
Pump.fun to raise $1B token sale, traders speculating on airdrop
#
Boop.Fun leading the way with a new launchpad on Solana.
A principios de julio, SlowMist investigó un robo de criptomonedas causado por un proyecto malicioso de GitHub: zldp2002/solana-pumpfun-bot.
Más recientemente, se encontró un repositorio similar — audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot — robando claves privadas de archivos .env y enviándolas a un servidor controlado por un atacante.
🎭Estos ataques a menudo dependen de la ingeniería social. Desarrolladores y usuarios: manténganse alerta al usar herramientas desconocidas de GitHub, especialmente aquellas que involucran billeteras o claves.
⚠️Ejecuten solo en entornos aislados sin datos sensibles.
✍️Análisis completo:
4 jul, 11:53
El 2 de julio, una víctima se puso en contacto con el equipo de SlowMist después de perder activos criptográficos. ¿La causa? Ejecutar un proyecto de GitHub aparentemente legítimo: zldp2002/solana-pumpfun-bot.
🕳️Lo que parecía seguro resultó ser una trampa ingeniosamente disfrazada.
Nuestro análisis reveló:
1️⃣El perpetrador disfrazó un programa malicioso como un proyecto de código abierto legítimo (solana-pumpfun-bot), atrayendo a los usuarios a descargarlo y ejecutarlo.
2️⃣Su popularidad artificial (estrellas/forks) enmascaró la amenaza: los usuarios ejecutaron sin saber un proyecto de Node.js con dependencias maliciosas incrustadas, exponiendo sus claves privadas y perdiendo activos. Esta combinación social + técnica lo hizo altamente engañoso.
⚠️Recordatorio: Nunca confíes ciegamente en proyectos de GitHub, especialmente cuando se trata de claves privadas o billeteras.
Si debes probarlos, hazlo en un entorno aislado y en una sandbox sin datos sensibles.
🔗Artículo completo:
#Web3Security #NodeJS #OpenSourceSecurity #GitHub
6,86K
Parte superior
Clasificación
Favoritos