Компания кибербезопасности SlowMist выпустила предупреждение после того, как пользователь потерял свои криптоактивы, загрузив нечто, что выглядело как легитимный торговый бот Solana. Проект под названием "solana-pumpfun-bot" утверждал, что помогает пользователям торговать токенами на Pump.fun, популярной платформе в экосистеме Solana. Но вместо этого он опустошил кошелек пользователя.
Бот невиновен в опасном повороте
Пользователь загрузил открытый исходный код бота с GitHub, запустил его, и вскоре после этого его кошелек был полностью очищен. На первый взгляд проект выглядит нормально. У него есть звезды, ветки и даже недавние коммиты.
Проект представляет собой приложение Node.js, которое включает в себя скрытую зависимость - пакет, связанный с пользовательским URL GitHub, а не с официальным реестром NPM. Это позволяет вредоносному пакету обходить проверки безопасности NPM, что делает обнаружение более сложным.
После установки код будет сканировать систему жертвы в поисках данных о кошельке и отправлять их закрытые ключи на удаленный сервер, контролируемый злоумышленником.
Чтобы выглядеть безопасно, злоумышленник использовал поддельный аккаунт GitHub, чтобы скопировать и сделать ответвление проекта, придавая ему вид широко используемого. Но, по данным SlowMist, вся база кода была загружена всего три недели назад, что является явным признаком того, что что-то не так.
В одном твите SlowMist объяснил:
"Преступник замаскировал вредоносную программу под законный проект с открытым исходным кодом... пользователи случайно запускают проект Node.js, содержащий вредоносные зависимости, что приводит к раскрытию приватных ключей и потере криптоактивов."
Важное предупреждение для разработчиков и трейдеров
SlowMist советует пользователям никогда не слепо доверять проектам на GitHub, особенно тем, которые требуют доступа к кошельку или обработки приватных ключей. Если вам нужно проверить такие инструменты, делайте это в песочнице, а не с вашими реальными криптоактивами.
Исследовательская группа предупреждает: "Если вы должны их протестировать, делайте это в изолированной среде, с песочницей и без конфиденциальных данных".
Почему это важно
С увеличением числа трейдеров и разработчиков, полагающихся на инструменты с открытым исходным кодом в криптовалютном пространстве, такие атаки становятся все труднее обнаружить.
Ключевой момент здесь очень прост: если проект на GitHub связан с вашим кошельком, рассматривайте это как проект с высоким риском!
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Предупреждение: Новый фальшивый торговый бот GitHub истощает кошельки Solana
Компания кибербезопасности SlowMist выпустила предупреждение после того, как пользователь потерял свои криптоактивы, загрузив нечто, что выглядело как легитимный торговый бот Solana. Проект под названием "solana-pumpfun-bot" утверждал, что помогает пользователям торговать токенами на Pump.fun, популярной платформе в экосистеме Solana. Но вместо этого он опустошил кошелек пользователя. Бот невиновен в опасном повороте Пользователь загрузил открытый исходный код бота с GitHub, запустил его, и вскоре после этого его кошелек был полностью очищен. На первый взгляд проект выглядит нормально. У него есть звезды, ветки и даже недавние коммиты. Проект представляет собой приложение Node.js, которое включает в себя скрытую зависимость - пакет, связанный с пользовательским URL GitHub, а не с официальным реестром NPM. Это позволяет вредоносному пакету обходить проверки безопасности NPM, что делает обнаружение более сложным. После установки код будет сканировать систему жертвы в поисках данных о кошельке и отправлять их закрытые ключи на удаленный сервер, контролируемый злоумышленником. Чтобы выглядеть безопасно, злоумышленник использовал поддельный аккаунт GitHub, чтобы скопировать и сделать ответвление проекта, придавая ему вид широко используемого. Но, по данным SlowMist, вся база кода была загружена всего три недели назад, что является явным признаком того, что что-то не так. В одном твите SlowMist объяснил: "Преступник замаскировал вредоносную программу под законный проект с открытым исходным кодом... пользователи случайно запускают проект Node.js, содержащий вредоносные зависимости, что приводит к раскрытию приватных ключей и потере криптоактивов." Важное предупреждение для разработчиков и трейдеров SlowMist советует пользователям никогда не слепо доверять проектам на GitHub, особенно тем, которые требуют доступа к кошельку или обработки приватных ключей. Если вам нужно проверить такие инструменты, делайте это в песочнице, а не с вашими реальными криптоактивами. Исследовательская группа предупреждает: "Если вы должны их протестировать, делайте это в изолированной среде, с песочницей и без конфиденциальных данных". Почему это важно С увеличением числа трейдеров и разработчиков, полагающихся на инструменты с открытым исходным кодом в криптовалютном пространстве, такие атаки становятся все труднее обнаружить. Ключевой момент здесь очень прост: если проект на GitHub связан с вашим кошельком, рассматривайте это как проект с высоким риском!