Báo cáo về vụ tấn công mã độc
Theo dõi của đội ngũ bảo mật SlowMist, vào ngày 2 tháng 7, một nạn nhân đã báo cáo rằng anh ta đã sử dụng một dự án mã nguồn mở được lưu trữ trên GitHub có tên là zldp2002/solana-pumpfun-bot vào ngày hôm trước, và sau đó tài sản mã hóa của anh đã bị đánh cắp.
Phân tích cuộc tấn công
Theo phân tích của SlowMist, trong cuộc tấn công này, kẻ tấn công đã dụ dỗ người dùng tải xuống và chạy mã độc bằng cách ngụy trang thành một dự án mã nguồn mở hợp pháp (solana-pumpfun-bot). Dưới vỏ bọc tăng cường độ phổ biến của dự án, người dùng đã chạy dự án Node.js với các phụ thuộc độc hại mà không có bất kỳ biện pháp phòng ngừa nào, dẫn đến việc rò rỉ khóa riêng của ví và đánh cắp tài sản.
Chuỗi tấn công và khuyến nghị
Toàn bộ chuỗi tấn công liên quan đến nhiều tài khoản GitHub hoạt động phối hợp, điều này mở rộng phạm vi phát tán, nâng cao độ tin cậy và cực kỳ lừa đảo. Đồng thời, loại tấn công này sử dụng kỹ thuật xã hội và các phương tiện kỹ thuật, khiến việc phòng ngừa hoàn toàn trong tổ chức trở nên rất khó khăn.
SlowMist khuyến nghị các nhà phát triển và người dùng cần cảnh giác cao độ với các dự án GitHub có nguồn gốc không rõ ràng, đặc biệt là khi liên quan đến các hoạt động ví hoặc khóa riêng. Nếu thực sự cần chạy và gỡ lỗi, nên thực hiện trên một môi trường máy độc lập không chứa dữ liệu nhạy cảm.
