【比推】Menurut tim keamanan, pada 2 Juli seorang korban melaporkan bahwa pada hari sebelumnya ia menggunakan sebuah proyek sumber terbuka yang dihosting di GitHub — zldp2002/solana-pumpfun-bot, dan kemudian aset enkripsi dicuri. Setelah dianalisis, dalam peristiwa serangan ini, penyerang menyamar sebagai proyek sumber terbuka yang sah (solana-pumpfun-bot), memperdaya pengguna untuk mengunduh dan menjalankan kode berbahaya. Di bawah kedok meningkatkan popularitas proyek, pengguna tanpa curiga menjalankan proyek Node.js yang mengandung ketergantungan berbahaya, yang mengakibatkan kebocoran kunci pribadi dompet dan pencurian aset. Seluruh rantai serangan melibatkan beberapa akun GitHub yang bekerja sama, memperluas jangkauan penyebaran, meningkatkan kredibilitas, dan sangat menipu. Sementara itu, serangan semacam ini menggunakan rekayasa sosial dan metode teknis secara bersamaan, sehingga sulit untuk sepenuhnya mempertahankan diri di dalam organisasi.
Disarankan agar pengembang dan pengguna tetap waspada terhadap proyek GitHub yang tidak jelas asal-usulnya, terutama yang melibatkan operasi dompet atau kunci pribadi. Jika memang perlu menjalankan debug, disarankan untuk menjalankan dan mem-debug di lingkungan mesin yang terpisah dan tidak memiliki data sensitif.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
22 Suka
Hadiah
22
6
Bagikan
Komentar
0/400
OnChainSleuth
· 07-06 11:28
Ternyata tidak ada yang memverifikasi tanda tangan bot kecil ini?
Lihat AsliBalas0
LayoffMiner
· 07-06 01:27
Rig Penambangan tergeletak di rumah dan tidak terpakai
Lihat AsliBalas0
RektDetective
· 07-04 12:30
Sekali lagi, seorang suckers telah dipermainkan.
Lihat AsliBalas0
AltcoinMarathoner
· 07-03 12:09
hanya sebuah penanda mil lainnya dalam maraton keamanan crypto... tetap waspada fam
Lihat AsliBalas0
MetaverseLandlady
· 07-03 11:55
Main-main saja sudah tahu untuk mengunduh, pantas dicuri.
Lihat AsliBalas0
CommunityWorker
· 07-03 11:50
Kabur, kabur, saya benar-benar tidak berani menyentuh bot-bot ini
Proyek jahat GitHub menyamar sebagai Bot Solana menyebabkan aset enkripsi pengguna dicuri
【比推】Menurut tim keamanan, pada 2 Juli seorang korban melaporkan bahwa pada hari sebelumnya ia menggunakan sebuah proyek sumber terbuka yang dihosting di GitHub — zldp2002/solana-pumpfun-bot, dan kemudian aset enkripsi dicuri. Setelah dianalisis, dalam peristiwa serangan ini, penyerang menyamar sebagai proyek sumber terbuka yang sah (solana-pumpfun-bot), memperdaya pengguna untuk mengunduh dan menjalankan kode berbahaya. Di bawah kedok meningkatkan popularitas proyek, pengguna tanpa curiga menjalankan proyek Node.js yang mengandung ketergantungan berbahaya, yang mengakibatkan kebocoran kunci pribadi dompet dan pencurian aset. Seluruh rantai serangan melibatkan beberapa akun GitHub yang bekerja sama, memperluas jangkauan penyebaran, meningkatkan kredibilitas, dan sangat menipu. Sementara itu, serangan semacam ini menggunakan rekayasa sosial dan metode teknis secara bersamaan, sehingga sulit untuk sepenuhnya mempertahankan diri di dalam organisasi.
Disarankan agar pengembang dan pengguna tetap waspada terhadap proyek GitHub yang tidak jelas asal-usulnya, terutama yang melibatkan operasi dompet atau kunci pribadi. Jika memang perlu menjalankan debug, disarankan untuk menjalankan dan mem-debug di lingkungan mesin yang terpisah dan tidak memiliki data sensitif.