Op 2 juli nam een slachtoffer contact op met het SlowMist-team nadat hij crypto-activa had verloren. De oorzaak? Het draaien van een schijnbaar legitiem GitHub-project — zldp2002/solana-pumpfun-bot. 🕳️Wat veilig leek, bleek een slim verborgen valstrik te zijn. Onze analyse onthulde: 1️⃣De dader verborg een kwaadaardig programma als een legitiem open-source project (solana-pumpfun-bot), en lokte gebruikers om het te downloaden en uit te voeren. 2️⃣De kunstmatige populariteit (sterren/vorken) maskeerde de dreiging — gebruikers voerden onbewust een Node.js-project uit met ingebedde kwaadaardige afhankelijkheden, waardoor hun privésleutels blootgesteld werden en activa verloren gingen. Deze sociale + technische combinatie maakte het zeer misleidend. ⚠️Herinnering: Vertrouw nooit blindelings op GitHub-projecten, vooral niet wanneer privésleutels of wallets betrokken zijn. Als je ze moet testen, doe dit dan in een sandboxed, geïsoleerde omgeving zonder gevoelige gegevens. 🔗Volledig artikel: #Web3Security #NodeJS #OpenSourceSecurity #GitHub