Chủ đề thịnh hành
#
Bonk Eco continues to show strength amid $USELESS rally
#
Pump.fun to raise $1B token sale, traders speculating on airdrop
#
Boop.Fun leading the way with a new launchpad on Solana.
Vào đầu tháng 7, SlowMist đã điều tra một vụ trộm tiền điện tử do một dự án GitHub độc hại gây ra: zldp2002/solana-pumpfun-bot.
Gần đây, một repo tương tự — audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot — đã được phát hiện đang đánh cắp khóa riêng từ các tệp .env và gửi chúng đến một máy chủ do kẻ tấn công kiểm soát.
🎭 Những cuộc tấn công này thường dựa vào kỹ thuật lừa đảo xã hội. Các nhà phát triển và người dùng: hãy cảnh giác khi sử dụng các công cụ GitHub không rõ nguồn gốc, đặc biệt là những công cụ liên quan đến ví hoặc khóa.
⚠️ Chỉ chạy trong các môi trường cách ly mà không có dữ liệu nhạy cảm.
✍️ Phân tích đầy đủ:
11:53 4 thg 7
Vào ngày 2 tháng 7, một nạn nhân đã liên hệ với đội ngũ SlowMist sau khi mất tài sản tiền điện tử. Nguyên nhân? Chạy một dự án GitHub có vẻ hợp pháp — zldp2002/solana-pumpfun-bot.
🕳️Những gì trông có vẻ an toàn lại hóa ra là một cái bẫy được ngụy trang khéo léo.
Phân tích của chúng tôi đã tiết lộ:
1️⃣Kẻ phạm tội đã ngụy trang một chương trình độc hại dưới dạng một dự án mã nguồn mở hợp pháp (solana-pumpfun-bot), dụ dỗ người dùng tải xuống và chạy nó.
2️⃣Sự phổ biến giả tạo của nó (sao/chia nhánh) đã che giấu mối đe dọa — người dùng không biết đã chạy một dự án Node.js với các phụ thuộc độc hại nhúng, làm lộ khóa riêng và mất tài sản. Sự kết hợp giữa xã hội + kỹ thuật này đã khiến nó trở nên rất lừa đảo.
⚠️Nhắc nhở: Đừng bao giờ tin tưởng mù quáng vào các dự án GitHub, đặc biệt là khi có liên quan đến khóa riêng hoặc ví.
Nếu bạn phải thử nghiệm chúng, hãy làm như vậy trong một môi trường cách ly, không có dữ liệu nhạy cảm.
🔗Bài viết đầy đủ:
#Web3Security #NodeJS #OpenSourceSecurity #GitHub
6,86K
Hàng đầu
Thứ hạng
Yêu thích