SlowMist：GitHubで人気のSolanaツールに暗号資産窃盗の罠

Jinse Financeによると、SlowMistセキュリティチームは、7月2日に被害者が前日にGitHub上でホストされているオープンソースプロジェクト「zldp2002/solana-pumpfun-bot」を利用した後、暗号資産が盗まれたと報告したと発表しました。SlowMistの分析によれば、この攻撃では攻撃者が悪意のあるコードを正規のオープンソースプロジェクト（solana-pumpfun-bot）に偽装し、ユーザーをダウンロードおよび実行へと誘導していました。プロジェクトの人気を高めるという名目のもと、ユーザーは悪意のある依存関係を含むNode.jsプロジェクトを無意識のうちに実行し、その結果ウォレットの秘密鍵が漏洩し、資産が盗まれる事態となりました。攻撃の全体的な流れは複数のGitHubアカウントが連携して行動することで、拡散範囲を広げ、信頼性を高め、非常に巧妙なものとなっています。また、この種の攻撃はソーシャルエンジニアリングと技術的手法を組み合わせており、組織内であっても完全に防御することが困難です。SlowMistは、開発者やユーザーに対し、特にウォレットや秘密鍵の操作が関わる場合、出所不明のGitHubプロジェクトには極めて慎重に対応するよう呼びかけています。このようなプロジェクトを実行またはデバッグする必要がある場合は、機密データのないマシン上の隔離された環境で行うことを推奨します。