Tópicos em alta
#
Bonk Eco continues to show strength amid $USELESS rally
#
Pump.fun to raise $1B token sale, traders speculating on airdrop
#
Boop.Fun leading the way with a new launchpad on Solana.
No início de julho, a SlowMist investigou um roubo de criptomoedas causado por um projeto malicioso do GitHub: zldp2002/solana-pumpfun-bot.
Mais recentemente, um repositório semelhante - audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot — foi encontrado roubando chaves privadas de arquivos .env e enviando-as para um servidor controlado pelo invasor.
🎭Esses ataques geralmente dependem de engenharia social. Desenvolvedores e usuários: fiquem atentos ao usar ferramentas desconhecidas do GitHub, especialmente aquelas que envolvem carteiras ou chaves.
⚠️Execute apenas em ambientes isolados sem dados confidenciais.
✍️Análise completa:
4 de jul., 11:53
Em 2 de julho, uma vítima entrou em contato com a equipe da SlowMist depois de perder criptoativos. A causa? Executando um projeto GitHub aparentemente legítimo - zldp2002 / solana-pumpfun-bot.
🕳️O que parecia seguro acabou sendo uma armadilha habilmente disfarçada.
Nossa análise revelou:
1️⃣O perpetrador disfarçou um programa malicioso como um projeto legítimo de código aberto (solana-pumpfun-bot), atraindo usuários para baixá-lo e executá-lo.
2️⃣Sua popularidade artificial (estrelas/bifurcações) mascarou a ameaça - os usuários, sem saber, executaram um projeto Node.js com dependências maliciosas incorporadas, expondo suas chaves privadas e perdendo ativos. Essa combinação social + técnica o tornou altamente enganoso.
⚠️Lembrete: nunca confie cegamente em projetos do GitHub, especialmente quando chaves privadas ou carteiras estão envolvidas.
Se você precisar testá-los, faça-o em um ambiente isolado e em área restrita, sem dados confidenciais.
🔗Artigo completo:
#Web3Security #NodeJS #OpenSourceSecurity #GitHub
6,87K
Melhores
Classificação
Favoritos