2. juli tok et offer kontakt med SlowMist-teamet etter å ha mistet kryptoaktiva. Årsaken? Kjører et tilsynelatende legitimt GitHub-prosjekt – zldp2002/solana-pumpfun-bot. 🕳️Det som så trygt ut, viste seg å være en smart forkledd felle. Vår analyse avslørte: 1️⃣Gjerningsmannen forkledde et ondsinnet program som et legitimt åpen kildekode-prosjekt (solana-pumpfun-bot), og lokket brukere til å laste ned og kjøre det. 2️⃣Dens kunstige popularitet (stjerner/gafler) maskerte trusselen – brukere kjørte ubevisst et Node.js prosjekt med innebygde ondsinnede avhengigheter, avslørte sine private nøkler og mistet eiendeler. Denne sosiale + tekniske kombinasjonen gjorde den svært villedende. ⚠️Påminnelse: Stol aldri blindt på GitHub-prosjekter, spesielt når private nøkler eller lommebøker er involvert. Hvis du må teste dem, gjør du det i et isolert sandkassemiljø uten sensitive data. 🔗Hele artikkelen: #Web3Security #NodeJS #OpenSourceSecurity #GitHub