PANews 7月3日消息,据慢雾安全团队,7月2日一名受害者称其前一天使用了一个托管在GitHub上的开源项目 —— zldp2002/solana-pumpfun-bot,随后加密资产被盗。经慢雾分析,本次攻击事件中,攻击者通过伪装为合法开源项目(solana-pumpfun-bot),诱导用户下载并运行恶意代码。在刷高项目热度的掩护下,用户在毫无防备的情况下运行了携带恶意依赖的Node.js项目,导致钱包私钥泄露、资产被盗。整个攻击链条涉及多个GitHub账号协同操作,扩大了传播范围,提升了可信度,极具欺骗性。同时,这类攻击通过社会工程与技术手段双管齐下,在组织内部也很难完全防御。
慢雾建议开发者与用户高度警惕来路不明的GitHub项目,尤其是在涉及钱包或私钥操作时。如果确实需要运行调试,建议在独立且没有敏感数据的机器环境运行和调试。
内容来源:PANews
财华网所刊载内容之知识产权为财华网及相关权利人专属所有或持有。未经许可,禁止进行转载、摘编、复制及建立镜像等任何使用。
如有意愿转载,请发邮件至content@finet.com.hk,获得书面确认及授权后,方可转载。
下载财华财经APP,把握投资先机
https://www.finet.com.cn/app
更多精彩内容,请点击:
财华网(https://www.finet.hk/)
财华智库网(https://www.finet.com.cn)
现代电视FINTV(http://www.fintv.hk)
财华财经APP下载 
或
按钮分享