SlowMist: Sikat na Solana Tool sa GitHub Nagtatago ng Patibong para sa Crypto Pagnanakaw

Ayon sa Jinse Finance, iniulat ng SlowMist security team na noong Hulyo 2, may isang biktima na nagsabing noong nakaraang araw ay gumamit siya ng isang open-source na proyekto na naka-host sa GitHub—zldp2002/solana-pumpfun-bot—at pagkatapos nito ay nanakaw ang kanyang mga crypto asset. Matapos ang pagsusuri ng SlowMist, natuklasan na sa pag-atakeng ito, itinago ng salarin ang malisyosong code bilang isang lehitimong open-source na proyekto (solana-pumpfun-bot), na umaakit sa mga user na i-download at patakbuhin ito. Sa ilalim ng dahilan na pagpapasikat ng proyekto, hindi namamalayan ng mga user na pinapatakbo nila ang isang Node.js na proyekto na may kasamang malisyosong dependencies, na nagresulta sa pagtagas ng wallet private key at pagnanakaw ng asset. Ang buong attack chain ay kinabibilangan ng magkakaugnay na operasyon ng maraming GitHub account, na nagpalawak ng saklaw ng pagkalat, nagdagdag ng kredibilidad, at naging lubhang mapanlinlang ang pag-atake. Kasabay nito, pinagsasama ng ganitong uri ng pag-atake ang social engineering at teknikal na pamamaraan, kaya't mahirap itong ganap na mapigilan kahit sa loob ng mga organisasyon. Pinapayuhan ng SlowMist ang mga developer at user na maging labis na maingat sa mga GitHub project mula sa hindi kilalang pinagmulan, lalo na kung may kinalaman ito sa wallet o private key operations. Kung kinakailangang patakbuhin o i-debug ang ganitong mga proyekto, inirerekomenda na gawin ito sa isang hiwalay na environment sa isang makina na walang sensitibong data.