SlowMist: GitHubdagi mashhur Solana vositasi kripto o‘g‘irlik tuzog‘ini yashiradi

Jinse Finance ma’lumotlariga ko‘ra, SlowMist xavfsizlik jamoasi xabar berishicha, 2-iyul kuni bir jabrlanuvchi o‘tgan kuni GitHub’da joylashtirilgan ochiq manbali loyiha—zldp2002/solana-pumpfun-bot’dan foydalanganini va natijada kripto aktivlari o‘g‘irlanganini bildirgan. SlowMist tahliliga ko‘ra, ushbu hujumda hujumchi zararli kodni qonuniy ochiq manbali loyiha (solana-pumpfun-bot) sifatida niqoblab, foydalanuvchilarni uni yuklab olib, ishga tushirishga undagan. Loyiha mashhurligini oshirish bahonasida foydalanuvchilar bexabar holda zararli bog‘liqliklarga ega Node.js loyihasini ishga tushirishgan va natijada hamyonning maxfiy kalitlari sizib chiqqan hamda aktivlar o‘g‘irlangan. Butun hujum zanjiri bir nechta GitHub akkauntlarining muvofiqlashtirilgan harakati orqali amalga oshirilgan bo‘lib, bu tarqalish doirasini kengaytirgan, ishonchlilikni oshirgan va hujumni juda aldovchan qilgan. Shu bilan birga, bu turdagi hujumlar ijtimoiy muhandislik va texnik usullarni birlashtiradi, bu esa hatto tashkilotlar ichida ham to‘liq himoyalanishni qiyinlashtiradi. SlowMist ishlab chiquvchilar va foydalanuvchilarga noma’lum manbalardan olingan GitHub loyihalariga, ayniqsa hamyon yoki maxfiy kalitlar bilan bog‘liq operatsiyalarda, nihoyatda ehtiyotkor bo‘lishni tavsiya qiladi. Agar bunday loyihalarni ishga tushirish yoki nosozliklarni tuzatish zarur bo‘lsa, buni maxfiy ma’lumotlar saqlanmagan, izolyatsiyalangan muhitda amalga oshirish tavsiya etiladi.