7月2日,一名受害者在失去加密资产后联系了SlowMist团队。原因?运行一个看似合法的GitHub项目——zldp2002/solana-pumpfun-bot。 🕳️看似安全的项目实际上是一个巧妙伪装的陷阱。 我们的分析揭示: 1️⃣犯罪者将一个恶意程序伪装成一个合法的开源项目(solana-pumpfun-bot),诱使用户下载并运行它。 2️⃣其人工制造的流行度(星标/分支)掩盖了威胁——用户在不知情的情况下运行了一个嵌入恶意依赖的Node.js项目,暴露了他们的私钥并失去了资产。这种社会+技术的组合使其极具欺骗性。 ⚠️提醒:永远不要盲目相信GitHub项目,尤其是涉及私钥或钱包时。 如果必须测试它们,请在一个沙盒的、隔离的环境中进行,确保没有敏感数据。 🔗完整文章: #Web3安全 #NodeJS #开源安全 #GitHub
13.92K