2 июля жертва обратилась к команде SlowMist после потери криптоактивов. Причина? Запуск, казалось бы, легитимного проекта на GitHub — zldp2002/solana-pumpfun-bot. 🕳️То, что выглядело безопасно, оказалось хитро замаскированной ловушкой. Наш анализ показал: 1️⃣Преступник замаскировал вредоносную программу под легитимный проект с открытым исходным кодом (solana-pumpfun-bot), заманивая пользователей скачать и запустить его. 2️⃣Его искусственная популярность (звезды/форки) скрывала угрозу — пользователи неосознанно запускали проект Node.js с встроенными вредоносными зависимостями, что подвергало риску их приватные ключи и приводило к потере активов. Эта социальная + техническая комбинация сделала его крайне обманчивым. ⚠️Напоминание: Никогда не доверяйте проектам на GitHub безоговорочно, особенно когда речь идет о приватных ключах или кошельках. Если вам нужно их протестировать, делайте это в изолированной среде без чувствительных данных. 🔗Полная статья: #Web3Security #NodeJS #OpenSourceSecurity #GitHub
13,94K