Pag-atake sa Open-Source na Proyekto
Ayon sa pagmamanman ng SlowMist security team, noong Hulyo 2, isang biktima ang nag-ulat na ginamit niya ang isang open-source na proyekto na naka-host sa GitHub noong nakaraang araw – zldp2002/solana-pumpfun-bot, at pagkatapos ay nanakaw ang kanyang mga encrypted na asset.
Paraan ng Pag-atake
Ayon sa pagsusuri ng SlowMist, sa pag-atakeng ito, pinilit ng umaatake ang mga gumagamit na i-download at patakbuhin ang nakakahamak na code sa pamamagitan ng pagpapanggap bilang isang lehitimong open-source na proyekto (solana-pumpfun-bot). Sa ilalim ng takip ng pagpapataas ng kasikatan ng proyekto, pinatakbo ng gumagamit ang Node.js na proyekto na may mga nakakahamak na dependencies nang walang anumang depensa, na nagresulta sa pagtagas ng mga pribadong susi ng wallet at pagnanakaw ng mga asset.
Kadena ng Pag-atake
Ang buong kadena ng pag-atake ay kinasasangkutan ng maraming account sa GitHub na nagtutulungan, na nagpapalawak ng saklaw ng pagpapakalat, nagpapalakas ng kredibilidad, at labis na nakalilinlang. Kasabay nito, ang ganitong uri ng pag-atake ay gumagamit ng social engineering at teknikal na mga paraan, at mahirap itong ganap na depensahan sa loob ng organisasyon.
Mga Rekomendasyon
Inirerekomenda ng SlowMist na ang mga developer at gumagamit ay maging labis na mapagbantay laban sa mga proyekto sa GitHub na hindi kilala ang pinagmulan, lalo na pagdating sa mga operasyon ng wallet o pribadong susi. Kung talagang kailangan mong patakbuhin at i-debug, inirerekomenda na gawin ito sa isang nakahiwalay na kapaligiran ng makina na walang sensitibong data.
