【比推】セキュリティチームの監視によると、7月2日に被害者が前日にGitHubにホスティングされたオープンソースプロジェクト—— zldp2002/solana-pumpfun-botを使用したと報告し、その後暗号資産が盗まれました。分析の結果、今回の攻撃事件では、攻撃者が合法的なオープンソースプロジェクト(solana-pumpfun-bot)を装い、ユーザーに悪意のあるコードをダウンロードして実行させることに成功しました。プロジェクトの人気を高めるカバーの下、ユーザーは何の警戒もせずに悪意のある依存関係を持つNode.jsプロジェクトを実行し、ウォレットの秘密鍵が漏洩し、資産が盗まれました。攻撃の全体的なチェーンは、複数のGitHubアカウントが連携して操作しており、拡散範囲を広げ、信頼性を高め、非常に欺瞞的です。同時に、この種の攻撃は、社会工学と技術手段の両方で行われるため、組織内部でも完全に防御することは難しいです。開発者とユーザーは、不明な出所の GitHub プロジェクトに対して高い警戒を持つことをお勧めします。特に、ウォレットや秘密鍵の操作に関わる場合は注意が必要です。もしデバッグを実行する必要がある場合は、機密データのない独立したマシン環境で実行およびデバッグすることをお勧めします。
GitHubの悪意のあるプロジェクトがソラナボットを装い、ユーザーの暗号資産が盗まれる
【比推】セキュリティチームの監視によると、7月2日に被害者が前日にGitHubにホスティングされたオープンソースプロジェクト—— zldp2002/solana-pumpfun-botを使用したと報告し、その後暗号資産が盗まれました。分析の結果、今回の攻撃事件では、攻撃者が合法的なオープンソースプロジェクト(solana-pumpfun-bot)を装い、ユーザーに悪意のあるコードをダウンロードして実行させることに成功しました。プロジェクトの人気を高めるカバーの下、ユーザーは何の警戒もせずに悪意のある依存関係を持つNode.jsプロジェクトを実行し、ウォレットの秘密鍵が漏洩し、資産が盗まれました。攻撃の全体的なチェーンは、複数のGitHubアカウントが連携して操作しており、拡散範囲を広げ、信頼性を高め、非常に欺瞞的です。同時に、この種の攻撃は、社会工学と技術手段の両方で行われるため、組織内部でも完全に防御することは難しいです。
開発者とユーザーは、不明な出所の GitHub プロジェクトに対して高い警戒を持つことをお勧めします。特に、ウォレットや秘密鍵の操作に関わる場合は注意が必要です。もしデバッグを実行する必要がある場合は、機密データのない独立したマシン環境で実行およびデバッグすることをお勧めします。