Le 2 juillet, une victime a contacté l'équipe de SlowMist après avoir perdu des actifs cryptographiques. La cause ? L'exécution d'un projet GitHub apparemment légitime — zldp2002/solana-pumpfun-bot. 🕳️Ce qui semblait sûr s'est avéré être un piège habilement déguisé. Notre analyse a révélé : 1️⃣Le coupable a déguisé un programme malveillant en un projet open-source légitime (solana-pumpfun-bot), attirant les utilisateurs à le télécharger et à l'exécuter. 2️⃣Sa popularité artificielle (étoiles/forks) masquait la menace — les utilisateurs exécutaient sans le savoir un projet Node.js avec des dépendances malveillantes intégrées, exposant leurs clés privées et perdant des actifs. Cette combinaison sociale + technique le rendait très trompeur. ⚠️Rappel : Ne faites jamais confiance aveuglément aux projets GitHub, surtout lorsque des clés privées ou des portefeuilles sont impliqués. Si vous devez les tester, faites-le dans un environnement isolé et sécurisé sans données sensibles. 🔗Article complet : #Web3Security #NodeJS #OpenSourceSecurity #GitHub