GitHub mã độc được ngụy trang thành Mã nguồn mở dựa trên dự án khiến người dùng mất tài sản mã hóa.

[币界] Ngày 3 tháng 7, theo thông tin từ đội ngũ bảo mật, vào ngày 2 tháng 7, một nạn nhân cho biết họ đã sử dụng một dự án mã nguồn mở được lưu trữ trên GitHub - zldp2002/solana-pumpfun-bot vào ngày hôm trước, sau đó tài sản mã hóa đã bị đánh cắp. Qua phân tích, trong sự cố tấn công này, kẻ tấn công đã giả mạo thành một dự án mã nguồn mở hợp pháp (solana-pumpfun-bot), dụ dỗ người dùng tải về và chạy mã độc. Dưới sự che giấu của việc làm tăng độ nóng của dự án, người dùng đã chạy một dự án Node.js mang theo các phụ thuộc độc hại mà không hề phòng bị, dẫn đến việc rò rỉ khóa riêng của ví tiền và tài sản bị đánh cắp. Toàn bộ chuỗi tấn công liên quan đến nhiều tài khoản GitHub hợp tác hoạt động, mở rộng phạm vi lây lan, nâng cao độ tin cậy, cực kỳ lừa đảo. Đồng thời, các cuộc tấn công loại này sử dụng cả kỹ thuật xã hội và kỹ thuật công nghệ, rất khó để phòng ngừa hoàn toàn trong nội bộ tổ chức.

Các chuyên gia an ninh khuyên các nhà phát triển và người dùng cần hết sức cảnh giác với các dự án GitHub không rõ nguồn gốc, đặc biệt là khi liên quan đến việc vận hành ví hoặc khóa riêng. Nếu thực sự cần phải chạy và gỡ lỗi, nên thực hiện trên môi trường máy độc lập và không có dữ liệu nhạy cảm.