Temas en tendencia
#
Bonk Eco continues to show strength amid $USELESS rally
#
Pump.fun to raise $1B token sale, traders speculating on airdrop
#
Boop.Fun leading the way with a new launchpad on Solana.
A principios de julio, SlowMist investigó un robo de criptomonedas causado por un proyecto malicioso de GitHub: zldp2002/solana-pumpfun-bot.
Más recientemente, se descubrió que un repositorio similar, audiofilter/pumpfun-pumpswap-sniper-copy-trading-bot, robaba claves privadas de archivos .env y las enviaba a un servidor controlado por atacantes.
🎭Estos ataques a menudo se basan en la ingeniería social. Desarrolladores y usuarios: manténgase alerta cuando utilice herramientas desconocidas de GitHub, especialmente aquellas que involucran billeteras o claves.
⚠️Ejecutar solo en entornos aislados sin datos confidenciales.
✍️Análisis completo:
4 jul, 11:53
El 2 de julio, una víctima se puso en contacto con el equipo de SlowMist tras perder criptoactivos. ¿La causa? Ejecutando un proyecto de GitHub aparentemente legítimo: zldp2002/solana-pumpfun-bot.
🕳️Lo que parecía seguro resultó ser una trampa hábilmente disfrazada.
Nuestro análisis reveló:
1️⃣El perpetrador disfrazó un programa malicioso como un proyecto legítimo de código abierto (solana-pumpfun-bot), atrayendo a los usuarios para que lo descargaran y ejecutaran.
2️⃣Su popularidad artificial (estrellas/bifurcaciones) enmascaró la amenaza: los usuarios, sin saberlo, ejecutaron un proyecto Node.js con dependencias maliciosas incrustadas, exponiendo sus claves privadas y perdiendo activos. Este combo social + técnico lo hizo altamente engañoso.
⚠️Recordatorio: Nunca confíes ciegamente en los proyectos de GitHub, especialmente cuando se trata de claves privadas o billeteras.
Si debe probarlos, hágalo en un entorno aislado y aislado sin datos confidenciales.
🔗Artículo completo:
#Web3Security #NodeJS #OpenSourceSecurity #GitHub
6.87K
Populares
Ranking
Favoritas