SlowMist: Công cụ Solana phổ biến của GitHub ẩn chứa một cái bẫy để đánh cắp tiền xu

Odaily Thông tin Planet Daily Theo giám sát của nhóm bảo mật SlowMist, vào ngày 2 tháng 7, một nạn nhân cho biết anh ta đã sử dụng một dự án nguồn mở được lưu trữ trên GitHub vào ngày hôm trước - zldp2002/solana-pumpfun-bot, sau đó tài sản được mã hóa của anh ta đã bị đánh cắp. Theo phân tích của SlowMist, trong cuộc tấn công này, kẻ tấn công đã dụ người dùng tải xuống và chạy mã độc bằng cách ngụy trang thành một dự án nguồn mở hợp pháp (solana-pumpfun-bot). Dưới vỏ bọc tăng mức độ phổ biến của dự án, người dùng đã chạy dự án Node.js với các phụ thuộc độc hại mà không có bất kỳ biện pháp phòng vệ nào, dẫn đến rò rỉ khóa riêng của ví và đánh cắp tài sản. Toàn bộ chuỗi tấn công liên quan đến nhiều tài khoản GitHub hoạt động phối hợp, điều này mở rộng phạm vi phát tán, nâng cao độ tin cậy và cực kỳ lừa đảo. Đồng thời, loại tấn công này sử dụng kỹ thuật xã hội và các phương tiện kỹ thuật, và rất khó để bảo vệ hoàn toàn trong tổ chức. SlowMist khuyến cáo rằng các nhà phát triển và người dùng phải hết sức cảnh giác với các dự án GitHub không rõ nguồn gốc, đặc biệt là khi liên quan đến hoạt động của ví hoặc khóa riêng. Nếu bạn thực sự cần chạy và gỡ lỗi, bạn nên chạy và gỡ lỗi trong môi trường máy độc lập không có dữ liệu nhạy cảm.