El 2 de julio, una víctima se puso en contacto con el equipo de SlowMist después de perder activos criptográficos. ¿La causa? Ejecutar un proyecto de GitHub aparentemente legítimo: zldp2002/solana-pumpfun-bot. 🕳️Lo que parecía seguro resultó ser una trampa ingeniosamente disfrazada. Nuestro análisis reveló: 1️⃣El perpetrador disfrazó un programa malicioso como un proyecto de código abierto legítimo (solana-pumpfun-bot), atrayendo a los usuarios a descargarlo y ejecutarlo. 2️⃣Su popularidad artificial (estrellas/forks) enmascaró la amenaza: los usuarios ejecutaron sin saber un proyecto de Node.js con dependencias maliciosas incrustadas, exponiendo sus claves privadas y perdiendo activos. Esta combinación social + técnica lo hizo altamente engañoso. ⚠️Recordatorio: Nunca confíes ciegamente en proyectos de GitHub, especialmente cuando se trata de claves privadas o billeteras. Si debes probarlos, hazlo en un entorno aislado y en una sandbox sin datos sensibles. 🔗Artículo completo: #Web3Security #NodeJS #OpenSourceSecurity #GitHub