SlowMist: Popularne narzędzie Solana na GitHubie ukrywa pułapkę kradzieży kryptowalut

Według informacji podanych przez Jinse Finance, zespół ds. bezpieczeństwa SlowMist poinformował, że 2 lipca jedna z ofiar zgłosiła, iż dzień wcześniej skorzystała z projektu open source udostępnionego na GitHubie—zldp2002/solana-pumpfun-bot—po czym jej aktywa kryptowalutowe zostały skradzione. Po analizie przeprowadzonej przez SlowMist ustalono, że w tym ataku sprawca podszył się pod legalny projekt open source (solana-pumpfun-bot), ukrywając złośliwy kod i nakłaniając użytkowników do jego pobrania oraz uruchomienia. Pod pretekstem zwiększenia popularności projektu użytkownicy nieświadomie uruchamiali projekt Node.js zawierający złośliwe zależności, co prowadziło do wycieku kluczy prywatnych portfela i kradzieży aktywów. Cały łańcuch ataku obejmował skoordynowane działania wielu kont na GitHubie, co zwiększało zasięg dystrybucji, wiarygodność oraz sprawiało, że atak był wyjątkowo podstępny. Jednocześnie tego typu atak łączy inżynierię społeczną ze środkami technicznymi, przez co nawet w organizacjach trudno jest się przed nim w pełni zabezpieczyć. SlowMist zaleca deweloperom i użytkownikom zachowanie szczególnej ostrożności wobec projektów z GitHuba pochodzących z nieznanych źródeł, zwłaszcza gdy dotyczą one operacji na portfelach lub kluczach prywatnych. W przypadku konieczności uruchomienia lub debugowania takich projektów, zaleca się wykonywanie tych czynności w odizolowanym środowisku na komputerze pozbawionym wrażliwych danych.