慢雾：GitHubの人気Solanaツールに盗難の罠が潜んでいる

ChainCatcher のメッセージによると、SlowMist セキュリティチームは、7 月 2 日にある被害者が前日に GitHub にホスティングされているオープンソースプロジェクト ------ zldp2002/solana-pumpfun-bot を使用したところ、暗号資産が盗まれたと報告したと述べています。SlowMist の分析によれば、今回の攻撃事件では、攻撃者が合法的なオープンソースプロジェクト (solana-pumpfun-bot) に偽装し、ユーザーを誘導して悪意のあるコードをダウンロードさせ、実行させました。プロジェクトの人気を高めるという隠れ蓑の下で、ユーザーは何の警戒もせずに悪意のある依存関係を含む Node.js プロジェクトを実行し、ウォレットの秘密鍵が漏洩し、資産が盗まれました。攻撃の全体的なチェーンは、複数の GitHub アカウントが協力して操作し、拡散範囲を広げ、信頼性を高め、非常に欺瞞的です。同時に、この種の攻撃は社会工学と技術的手法の両方を駆使しており、組織内部でも完全に防御することは非常に困難です。

SlowMist は、開発者とユーザーに対し、特にウォレットや秘密鍵の操作に関わる場合は、出所不明の GitHub プロジェクトに対して高い警戒心を持つように推奨しています。もしデバッグを実行する必要がある場合は、独立した、敏感なデータがないマシン環境で実行およびデバッグすることをお勧めします。