安全警示:GitHub开源项目的潜在风险
根据SlowMist安全团队的监测,7月2日,一名受害者表示,他在前一天使用了一个托管在GitHub上的开源项目——zldp2002/solana-pumpfun-bot,随后他的加密资产被盗。
SlowMist的分析显示,在此次攻击中,攻击者伪装成一个合法的开源项目,诱使用户下载并运行恶意代码。
在提升项目知名度的掩护下,用户在没有任何防范措施的情况下运行了带有恶意依赖的Node.js项目,导致钱包私钥泄露和资产被盗。
整个攻击链涉及多个GitHub账户的协同操作,扩大了传播范围,增强了可信度,极具欺骗性。同时,这种攻击结合了社会工程学和技术手段,组织内部很难完全防范。
防范建议
SlowMist建议开发者和用户对未知来源的GitHub项目保持高度警惕,尤其是在涉及钱包或私钥操作时。如果确实需要运行和调试,建议在没有敏感数据的独立机器环境中进行。
