Актуальные темы
#
Bonk Eco continues to show strength amid $USELESS rally
#
Pump.fun to raise $1B token sale, traders speculating on airdrop
#
Boop.Fun leading the way with a new launchpad on Solana.
В начале июля SlowMist расследовал кражу криптовалюты, вызванную злонамеренным проектом на GitHub: zldp2002/solana-pumpfun-bot.
Совсем недавно был найден аналогичный репозиторий — audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot — который крал приватные ключи из .env файлов и отправлял их на сервер, контролируемый злоумышленником.
🎭 Эти атаки часто полагаются на социальную инженерию. Разработчики и пользователи: будьте бдительны при использовании неизвестных инструментов GitHub, особенно тех, которые связаны с кошельками или ключами.
⚠️ Запускайте только в изолированных средах без конфиденциальных данных.
✍️ Полный анализ:
4 июл., 11:53
2 июля жертва обратилась к команде SlowMist после потери криптоактивов. Причина? Запуск, казалось бы, легитимного проекта на GitHub — zldp2002/solana-pumpfun-bot.
🕳️То, что выглядело безопасно, оказалось хитро замаскированной ловушкой.
Наш анализ показал:
1️⃣Преступник замаскировал вредоносную программу под легитимный проект с открытым исходным кодом (solana-pumpfun-bot), заманивая пользователей скачать и запустить его.
2️⃣Его искусственная популярность (звезды/форки) скрывала угрозу — пользователи неосознанно запускали проект Node.js с встроенными вредоносными зависимостями, что подвергало риску их приватные ключи и приводило к потере активов. Эта социальная + техническая комбинация сделала его крайне обманчивым.
⚠️Напоминание: Никогда не доверяйте проектам на GitHub безоговорочно, особенно когда речь идет о приватных ключах или кошельках.
Если вам нужно их протестировать, делайте это в изолированной среде без чувствительных данных.
🔗Полная статья:
#Web3Security #NodeJS #OpenSourceSecurity #GitHub
6,86K
Топ
Рейтинг
Избранное