SlowMist: Популярный инструмент Solana на GitHub скрывает ловушку для кражи криптовалюты

По данным Jinse Finance, команда безопасности SlowMist сообщила, что 2 июля жертва заявила, что накануне использовала размещённый на GitHub открытый проект zldp2002/solana-pumpfun-bot, после чего её криптоактивы были похищены. После анализа SlowMist выяснилось, что в этой атаке злоумышленник замаскировал вредоносный код под легитимный open-source проект (solana-pumpfun-bot), заманивая пользователей скачать и запустить его. Под предлогом повышения популярности проекта пользователи ничего не подозревая запускали Node.js-проект с вредоносными зависимостями, что приводило к утечке приватных ключей кошельков и краже активов. Вся цепочка атаки включала скоординированную работу нескольких аккаунтов GitHub, что расширяло охват распространения, повышало доверие и делало атаку крайне обманчивой. При этом данный тип атаки сочетает социальную инженерию с техническими методами, из-за чего даже внутри организаций полностью защититься от неё сложно. SlowMist рекомендует разработчикам и пользователям проявлять крайнюю осторожность с проектами на GitHub из неизвестных источников, особенно если они связаны с операциями с кошельками или приватными ключами. Если необходимо запускать или отлаживать такие проекты, рекомендуется делать это в изолированной среде на устройстве без чувствительных данных.