La société de cybersécurité SlowMist a émis un avertissement après qu'un utilisateur a perdu ses cryptoactifs en téléchargeant ce qui ressemblait à un bot de trading Solana légitime. Ce projet nommé "solana-pumpfun-bot" prétendait aider les utilisateurs à trader des tokens sur Pump.fun, une plateforme populaire dans l'écosystème Solana. Mais à la place, il a vidé le portefeuille de l'utilisateur.
Bots de trading innocents avec un tournant dangereux
Les utilisateurs ont téléchargé un bot open source depuis GitHub, l'ont exécuté et juste après, leur portefeuille a été complètement vidé. À première vue, le projet semblait normal. Il a des étoiles, des branches et même des engagements récents.
Le projet est une application Node.js comprenant une dépendance cachée - un paquet lié depuis une URL GitHub personnalisée plutôt que depuis le registre NPM officiel. Cela permet au paquet malveillant de passer les contrôles de sécurité de NPM, rendant la détection plus difficile.
Après l'installation, le code va scanner le système de la victime pour rechercher des données de portefeuille et envoyer leur clé privée à un serveur distant contrôlé par l'attaquant.
Pour paraître sûr, l'attaquant a utilisé un faux compte GitHub pour copier et bifurquer le projet, lui donnant une apparence largement utilisée. Mais selon SlowMist, l'ensemble de la base de code a été téléchargé seulement trois semaines auparavant, ce qui est un signe clair qu'il y a quelque chose qui cloche.
Dans un tweet, SlowMist explique :
“Le criminel a déguisé un programme malveillant en un projet open source légitime... les utilisateurs exécutaient involontairement un projet Node.js intégrant des dépendances malveillantes, exposant ainsi leur clé privée et perdant des cryptoactifs.”
Avertissement important pour les développeurs et les traders
SlowMist conseille aux utilisateurs de ne jamais faire confiance aveuglément aux projets GitHub, en particulier ceux qui demandent un accès au portefeuille ou le traitement de clés privées. Si vous avez besoin de vérifier de tels outils, effectuez-le dans un environnement sandbox et non pas avec vos cryptoactifs.
Le groupe de recherche avertit : "Si vous devez les tester, faites-le dans un environnement isolé, avec un bac à sable et sans données sensibles".
Pourquoi cela est-il important
Alors que de plus en plus de traders et de développeurs s'appuient sur des outils open source dans l'espace des cryptoactifs, des attaques comme celle-ci deviennent de plus en plus difficiles à détecter.
Le point crucial ici est très simple : si un projet GitHub concerne votre portefeuille, considérez-le comme un projet à haut risque !
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Alerte : Un faux bot de trading GitHub est en train de vider les portefeuilles Solana.
La société de cybersécurité SlowMist a émis un avertissement après qu'un utilisateur a perdu ses cryptoactifs en téléchargeant ce qui ressemblait à un bot de trading Solana légitime. Ce projet nommé "solana-pumpfun-bot" prétendait aider les utilisateurs à trader des tokens sur Pump.fun, une plateforme populaire dans l'écosystème Solana. Mais à la place, il a vidé le portefeuille de l'utilisateur. Bots de trading innocents avec un tournant dangereux Les utilisateurs ont téléchargé un bot open source depuis GitHub, l'ont exécuté et juste après, leur portefeuille a été complètement vidé. À première vue, le projet semblait normal. Il a des étoiles, des branches et même des engagements récents. Le projet est une application Node.js comprenant une dépendance cachée - un paquet lié depuis une URL GitHub personnalisée plutôt que depuis le registre NPM officiel. Cela permet au paquet malveillant de passer les contrôles de sécurité de NPM, rendant la détection plus difficile. Après l'installation, le code va scanner le système de la victime pour rechercher des données de portefeuille et envoyer leur clé privée à un serveur distant contrôlé par l'attaquant. Pour paraître sûr, l'attaquant a utilisé un faux compte GitHub pour copier et bifurquer le projet, lui donnant une apparence largement utilisée. Mais selon SlowMist, l'ensemble de la base de code a été téléchargé seulement trois semaines auparavant, ce qui est un signe clair qu'il y a quelque chose qui cloche. Dans un tweet, SlowMist explique : “Le criminel a déguisé un programme malveillant en un projet open source légitime... les utilisateurs exécutaient involontairement un projet Node.js intégrant des dépendances malveillantes, exposant ainsi leur clé privée et perdant des cryptoactifs.” Avertissement important pour les développeurs et les traders SlowMist conseille aux utilisateurs de ne jamais faire confiance aveuglément aux projets GitHub, en particulier ceux qui demandent un accès au portefeuille ou le traitement de clés privées. Si vous avez besoin de vérifier de tels outils, effectuez-le dans un environnement sandbox et non pas avec vos cryptoactifs. Le groupe de recherche avertit : "Si vous devez les tester, faites-le dans un environnement isolé, avec un bac à sable et sans données sensibles". Pourquoi cela est-il important Alors que de plus en plus de traders et de développeurs s'appuient sur des outils open source dans l'espace des cryptoactifs, des attaques comme celle-ci deviennent de plus en plus difficiles à détecter. Le point crucial ici est très simple : si un projet GitHub concerne votre portefeuille, considérez-le comme un projet à haut risque !