Em 2 de julho, uma vítima entrou em contato com a equipe da SlowMist depois de perder criptoativos. A causa? Executando um projeto GitHub aparentemente legítimo - zldp2002 / solana-pumpfun-bot. 🕳️O que parecia seguro acabou sendo uma armadilha habilmente disfarçada. Nossa análise revelou: 1️⃣O perpetrador disfarçou um programa malicioso como um projeto legítimo de código aberto (solana-pumpfun-bot), atraindo usuários para baixá-lo e executá-lo. 2️⃣Sua popularidade artificial (estrelas/bifurcações) mascarou a ameaça - os usuários, sem saber, executaram um projeto Node.js com dependências maliciosas incorporadas, expondo suas chaves privadas e perdendo ativos. Essa combinação social + técnica o tornou altamente enganoso. ⚠️Lembrete: nunca confie cegamente em projetos do GitHub, especialmente quando chaves privadas ou carteiras estão envolvidas. Se você precisar testá-los, faça-o em um ambiente isolado e em área restrita, sem dados confidenciais. 🔗Artigo completo: #Web3Security #NodeJS #OpenSourceSecurity #GitHub