Компанія кібербезпеки SlowMist випустила попередження після того, як один з користувачів втратив свої криптоактиви, завантаживши те, що виглядало як законний торговий бот Solana. Проект під назвою "solana-pumpfun-bot" стверджував, що допомагає користувачам торгувати токенами на Pump.fun, популярній платформі в екосистемі Solana. Але замість цього він вичерпав гаманець користувача.
Бот невинний з небезпечним поворотом
Користувач завантажив відкритий бот з GitHub, запустив його, і незабаром після цього його гаманець був повністю очищений. На перший погляд, проєкт виглядав нормально. У нього є зірки, гілки і навіть нещодавні коміти.
Проект є додатком Node.js, який включає в себе приховану залежність - пакет, що пов'язаний з користувацьким URL GitHub замість офіційного реєстру NPM. Це дозволяє шкідливому пакету обходити перевірки безпеки NPM, що ускладнює його виявлення.
Після встановлення код буде сканувати систему жертви, щоб знайти дані гаманця та надіслати їх приватний ключ на віддалений сервер, що контролюється зловмисником.
Щоб виглядати безпечно, зловмисник використав підроблений обліковий запис GitHub для копіювання та розгалуження проєкту, надавши йому вигляд, що його широко використовують. Але згідно з SlowMist, весь код було завантажено лише три тижні тому, що є яскравим знаком того, що щось не гаразд.
У твітті SlowMist пояснив:
“Злочинець замаскував шкідливу програму під легальний відкритий проект... користувачі випадково запускають проект Node.js, що містить шкідливі залежності, що призводить до витоку приватного ключа та втрати активів.”
Важливе попередження для розробників та трейдерів
SlowMist рекомендує користувачам ніколи не довіряти сліпо проектам GitHub, особливо тим, які вимагають доступу до гаманця або обробки приватних ключів. Якщо вам потрібно перевірити такі інструменти, робіть це в середовищі пісочниці, а не з вашими реальними криптоактивами.
Група дослідників попереджає: "Якщо ви повинні їх протестувати, робіть це в ізольованому середовищі, з пісочницею та без чутливих даних".
Чому це важливо
Коли дедалі більше трейдерів та розробників покладаються на відкриті інструменти в криптоактиви, такі атаки стають дедалі важче помітити.
Ключовий момент тут дуже простий: якщо проект на GitHub стосується вашого гаманця, вважайте його проектом з високим ризиком!
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Попередження: новий фальшивий бот торгівлі GitHub викачує кошти з гаманця Solana
Компанія кібербезпеки SlowMist випустила попередження після того, як один з користувачів втратив свої криптоактиви, завантаживши те, що виглядало як законний торговий бот Solana. Проект під назвою "solana-pumpfun-bot" стверджував, що допомагає користувачам торгувати токенами на Pump.fun, популярній платформі в екосистемі Solana. Але замість цього він вичерпав гаманець користувача. Бот невинний з небезпечним поворотом Користувач завантажив відкритий бот з GitHub, запустив його, і незабаром після цього його гаманець був повністю очищений. На перший погляд, проєкт виглядав нормально. У нього є зірки, гілки і навіть нещодавні коміти. Проект є додатком Node.js, який включає в себе приховану залежність - пакет, що пов'язаний з користувацьким URL GitHub замість офіційного реєстру NPM. Це дозволяє шкідливому пакету обходити перевірки безпеки NPM, що ускладнює його виявлення. Після встановлення код буде сканувати систему жертви, щоб знайти дані гаманця та надіслати їх приватний ключ на віддалений сервер, що контролюється зловмисником. Щоб виглядати безпечно, зловмисник використав підроблений обліковий запис GitHub для копіювання та розгалуження проєкту, надавши йому вигляд, що його широко використовують. Але згідно з SlowMist, весь код було завантажено лише три тижні тому, що є яскравим знаком того, що щось не гаразд. У твітті SlowMist пояснив: “Злочинець замаскував шкідливу програму під легальний відкритий проект... користувачі випадково запускають проект Node.js, що містить шкідливі залежності, що призводить до витоку приватного ключа та втрати активів.” Важливе попередження для розробників та трейдерів SlowMist рекомендує користувачам ніколи не довіряти сліпо проектам GitHub, особливо тим, які вимагають доступу до гаманця або обробки приватних ключів. Якщо вам потрібно перевірити такі інструменти, робіть це в середовищі пісочниці, а не з вашими реальними криптоактивами. Група дослідників попереджає: "Якщо ви повинні їх протестувати, робіть це в ізольованому середовищі, з пісочницею та без чутливих даних". Чому це важливо Коли дедалі більше трейдерів та розробників покладаються на відкриті інструменти в криптоактиви, такі атаки стають дедалі важче помітити. Ключовий момент тут дуже простий: якщо проект на GitHub стосується вашого гаманця, вважайте його проектом з високим ризиком!