慢霧：GitHub熱門Solana工具暗藏盜幣陷阱

Odaily星球日報訊 根據慢霧安全團隊監測，7 月2 日一名受害者稱其前一天使用了託管在GitHub 上的開源專案— zldp2002/solana-pumpfun-bot，隨後加密資產被盜。經慢霧分析，本次攻擊事件中，攻擊者透過偽裝為合法開源專案（solana-pumpfun-bot），誘導使用者下載並執行惡意程式碼。在刷高項目熱度的掩護下，用戶在毫無防備的情況下運行了攜帶惡意依賴的Node.js 項目，導致錢包私鑰洩漏、資產被盜。整個攻擊鏈涉及多個GitHub 帳號協同操作，擴大了傳播範圍，提升了可信度，極具欺騙性。同時，這類攻擊透過社會工程與技術手段雙管齊下，在組織內部也很難完全防禦。慢霧建議開發者與使用者高度警惕來路不明的GitHub 項目，尤其是涉及錢包或私鑰操作時。如果確實需要運行調試，建議在獨立且沒有敏感資料的機器環境中運行和調試。