【通貨界】7月3日のニュースによると、安全チームによると、7月2日に被害者が前日にGitHub上にホスティングされたオープンソースプロジェクト —— zldp2002/solana-pumpfun-botを使用したところ、暗号資産が盗まれたと報告しています。分析の結果、今回の攻撃事件では、攻撃者が合法的なオープンソースプロジェクト(solana-pumpfun-bot)を偽装し、ユーザーを騙して悪意のあるコードをダウンロードして実行させたことが明らかになりました。プロジェクトの熱度を高めるためのカモフラージュの下で、ユーザーは何の警戒もせずに悪意のある依存関係を含むNode.jsプロジェクトを実行し、ウォレットの秘密鍵が漏洩し、資産が盗まれました。全体の攻撃チェーンには複数のGitHubアカウントが協調して関与し、拡散範囲を広げ、信頼性を高め、非常に欺瞞的です。同時に、この種の攻撃は社会的工学と技術的手段の両方を駆使しており、組織内部でも完全に防御することは非常に難しいです。安全専門家は、特にウォレットや秘密鍵の操作に関与する場合、開発者とユーザーが不明な出所のGitHubプロジェクトに対して高い警戒心を持つように提案しています。実際にデバッグを実行する必要がある場合は、セキュリティデータがない独立したマシン環境で実行およびデバッグすることをお勧めします。
GitHubの悪意のあるコードがオープンソースプロジェクトに偽装され、ユーザーの暗号資産が盗まれる
【通貨界】7月3日のニュースによると、安全チームによると、7月2日に被害者が前日にGitHub上にホスティングされたオープンソースプロジェクト —— zldp2002/solana-pumpfun-botを使用したところ、暗号資産が盗まれたと報告しています。分析の結果、今回の攻撃事件では、攻撃者が合法的なオープンソースプロジェクト(solana-pumpfun-bot)を偽装し、ユーザーを騙して悪意のあるコードをダウンロードして実行させたことが明らかになりました。プロジェクトの熱度を高めるためのカモフラージュの下で、ユーザーは何の警戒もせずに悪意のある依存関係を含むNode.jsプロジェクトを実行し、ウォレットの秘密鍵が漏洩し、資産が盗まれました。全体の攻撃チェーンには複数のGitHubアカウントが協調して関与し、拡散範囲を広げ、信頼性を高め、非常に欺瞞的です。同時に、この種の攻撃は社会的工学と技術的手段の両方を駆使しており、組織内部でも完全に防御することは非常に難しいです。
安全専門家は、特にウォレットや秘密鍵の操作に関与する場合、開発者とユーザーが不明な出所のGitHubプロジェクトに対して高い警戒心を持つように提案しています。実際にデバッグを実行する必要がある場合は、セキュリティデータがない独立したマシン環境で実行およびデバッグすることをお勧めします。