【比推】Согласно мониторингу команды безопасности, 2 июля один из жертв заявил, что накануне использовал проект с открытым исходным кодом, размещенный на GitHub — zldp2002/solana-pumpfun-bot, после чего его шифрованные активы были украдены. В ходе анализа установлено, что в данном инциденте злоумышленники маскировались под легитимный проект с открытым исходным кодом (solana-pumpfun-bot), чтобы заставить пользователей загрузить и запустить вредоносный код. Под предлогом повышения популярности проекта пользователи, не подозревая об опасности, запускали Node.js проект с вредоносными зависимостями, что привело к утечке закрытого ключа кошелька и краже активов. Цепочка атак включала координированные действия нескольких аккаунтов на GitHub, что расширило область распространения и повысило доверие, что делает ее крайне обманчивой. В то же время такие атаки, используя как социальную инженерию, так и технические методы, крайне сложно полностью предотвратить внутри организации.
Рекомендуется разработчикам и пользователям проявлять повышенную осторожность к незнакомым проектам на GitHub, особенно когда речь идет о Кошельках или Закрытых ключах. Если действительно необходимо выполнять отладку, рекомендуется запускать и отлаживать в независимой среде без конфиденциальных данных.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
22 Лайков
Награда
22
6
Репост
Поделиться
комментарий
0/400
OnChainSleuth
· 07-06 11:28
Оказывается, никто не проверял подпись этого маленького бота?
Посмотреть ОригиналОтветить0
LayoffMiner
· 07-06 01:27
Риг для майнинга лежит дома и пылится
Посмотреть ОригиналОтветить0
RektDetective
· 07-04 12:30
Еще один неудачник разыгран как лох.
Посмотреть ОригиналОтветить0
AltcoinMarathoner
· 07-03 12:09
просто еще одна веха в марафоне безопасности криптовалют... будьте бдительны, семья
Посмотреть ОригиналОтветить0
MetaverseLandlady
· 07-03 11:55
Играй, играй, играй, и сам поймешь, что скачал. Так тебе и надо, что тебя ограбили.
Посмотреть ОригиналОтветить0
CommunityWorker
· 07-03 11:50
Убегаю, убегаю, действительно не смею трогать этих Ботов.
Зловредные проекты на GitHub выдают себя за Боты Solana, что приводит к кражам шифрования активов пользователей.
【比推】Согласно мониторингу команды безопасности, 2 июля один из жертв заявил, что накануне использовал проект с открытым исходным кодом, размещенный на GitHub — zldp2002/solana-pumpfun-bot, после чего его шифрованные активы были украдены. В ходе анализа установлено, что в данном инциденте злоумышленники маскировались под легитимный проект с открытым исходным кодом (solana-pumpfun-bot), чтобы заставить пользователей загрузить и запустить вредоносный код. Под предлогом повышения популярности проекта пользователи, не подозревая об опасности, запускали Node.js проект с вредоносными зависимостями, что привело к утечке закрытого ключа кошелька и краже активов. Цепочка атак включала координированные действия нескольких аккаунтов на GitHub, что расширило область распространения и повысило доверие, что делает ее крайне обманчивой. В то же время такие атаки, используя как социальную инженерию, так и технические методы, крайне сложно полностью предотвратить внутри организации.
Рекомендуется разработчикам и пользователям проявлять повышенную осторожность к незнакомым проектам на GitHub, особенно когда речь идет о Кошельках или Закрытых ключах. Если действительно необходимо выполнять отладку, рекомендуется запускать и отлаживать в независимой среде без конфиденциальных данных.