SlowMist: GitHub의 인기 있는 Solana 도구에 코인을 훔치기 위한 함정이 숨겨져 있습니다.

Odaily 스타 데일리 뉴스 SlowMist 보안팀의 모니터링에 따르면, 7월 2일 한 피해자가 전날 GitHub에 호스팅된 오픈소스 프로젝트인 zldp2002/solana-pumpfun-bot을 사용했고, 이후 암호화된 자산이 도난당했다고 진술했습니다. SlowMist 분석에 따르면, 이 공격에서 공격자는 합법적인 오픈소스 프로젝트(solana-pumpfun-bot)로 위장하여 사용자가 악성 코드를 다운로드하고 실행하도록 유도했습니다. 사용자는 프로젝트의 인기를 높인다는 명목으로 악성 종속성이 있는 Node.js 프로젝트를 아무런 방어 수단 없이 실행하여 지갑 개인 키가 유출되고 자산이 도난당했습니다. 전체 공격 체인은 여러 GitHub 계정을 통해 공동으로 작동하여 유포 범위를 확대하고 신뢰도를 높이며 매우 기만적입니다. 동시에 이러한 유형의 공격은 사회 공학적 공격과 기술적 수단을 사용하며, 조직 내에서 완벽하게 방어하기 어렵습니다. SlowMist는 개발자와 사용자가 출처를 알 수 없는 GitHub 프로젝트, 특히 지갑이나 개인 키 작업과 관련된 프로젝트에 대해 각별히 주의할 것을 권장합니다. 실행 및 디버깅이 꼭 필요한 경우, 민감한 데이터가 없는 독립적인 머신 환경에서 실행 및 디버깅하는 것이 좋습니다.