Am 2. Juli wandte sich ein Opfer an das SlowMist-Team, nachdem es Krypto-Assets verloren hatte. Der Grund? Ein scheinbar legitimes GitHub-Projekt – zldp2002/solana-pumpfun-bot. 🕳️Was sicher schien, stellte sich als clever getarnte Falle heraus. Unsere Analyse ergab: 1️⃣Der Täter tarnte ein bösartiges Programm als legitimes Open-Source-Projekt (solana-pumpfun-bot) und lockte Benutzer dazu, es herunterzuladen und auszuführen. 2️⃣Seine künstliche Popularität (Sterne/Gabeln) maskierte die Bedrohung – Benutzer führten unwissentlich ein Node.js-Projekt mit eingebetteten bösartigen Abhängigkeiten aus, wodurch ihre privaten Schlüssel exponiert wurden und sie Vermögenswerte verloren. Diese soziale + technische Kombination machte es äußerst täuschend. ⚠️Erinnerung: Vertrauen Sie niemals blind GitHub-Projekten, insbesondere wenn private Schlüssel oder Wallets betroffen sind. Wenn Sie sie testen müssen, tun Sie dies in einer sandboxed, isolierten Umgebung ohne sensible Daten. 🔗Vollständiger Artikel: #Web3Security #NodeJS #OpenSourceSecurity #GitHub