Den 2 juli kontaktade ett offer SlowMist-teamet efter att ha förlorat kryptotillgångar. Orsaken? Kör ett till synes legitimt GitHub-projekt - zldp2002/solana-pumpfun-bot. 🕳️Det som såg säkert ut visade sig vara en skickligt förklädd fälla. Vår analys avslöjade: 1️⃣Förövaren förklädde ett skadligt program som ett legitimt projekt med öppen källkod (solana-pumpfun-bot), vilket lockade användare att ladda ner och köra det. 2️⃣Dess artificiella popularitet (stjärnor/gafflar) maskerade hotet - användare körde omedvetet ett Node.js projekt med inbäddade skadliga beroenden, exponerade sina privata nycklar och förlorade tillgångar. Denna sociala + tekniska kombination gjorde det mycket vilseledande. ⚠️Påminnelse: Lita aldrig blint på GitHub-projekt, särskilt när privata nycklar eller plånböcker är inblandade. Om du måste testa dem gör du det i en isolerad miljö i begränsat läge utan känsliga data. 🔗Hela artikeln: #Web3Security #NodeJS #OpenSourceSecurity #GitHub