7月2日，一名受害者在丟失加密資產後聯繫了 SlowMist 團隊。原因是什麼？運行一個看似合法的 GitHub 專案 — zldp2002/solana-pumpfun-bot。 🕳️ 看起來安全的地方，結果卻是一個巧妙偽裝的陷阱。 我們的分析顯示： 1️⃣作案者將惡意程序偽裝成合法的開源專案（solana-pumpfun-bot），誘使用戶下載並運行。 2️⃣它的人為人氣（星星/分叉）掩蓋了威脅——使用者在不知不覺中運行了一個嵌入了惡意依賴項的Node.js專案，暴露了他們的私閜並丟失了資產。這種社交 + 技術的組合使其具有高度的欺騙性。 ⚠️ 提醒：永遠不要盲目相信 GitHub 專案，尤其是當涉及私鑰或錢包時。 如果您必須測試它們，請在沒有敏感數據的沙箱隔離環境中進行測試。 🔗 全文： #Web3Security #NodeJS #OpenSourceSecurity #GitHub