【比推】Theo đội ngũ an ninh theo dõi, vào ngày 2 tháng 7, một nạn nhân cho biết họ đã sử dụng một dự án mã nguồn mở được lưu trữ trên GitHub - zldp2002/solana-pumpfun-bot vào ngày hôm trước, sau đó tài sản mã hóa đã bị đánh cắp. Qua phân tích, trong sự kiện tấn công này, kẻ tấn công đã giả mạo là một dự án mã nguồn mở hợp pháp (solana-pumpfun-bot), dụ dỗ người dùng tải xuống và chạy mã độc. Dưới vỏ bọc tăng cường độ hot của dự án, người dùng đã vô tình chạy một dự án Node.js có chứa phụ thuộc độc hại mà không hề phòng bị, dẫn đến việc lộ khóa riêng của ví và tài sản bị đánh cắp. Toàn bộ chuỗi tấn công này liên quan đến nhiều tài khoản GitHub phối hợp hoạt động, mở rộng phạm vi phát tán và nâng cao độ tin cậy, cực kỳ lừa đảo. Đồng thời, loại tấn công này sử dụng cả kỹ thuật xã hội và phương pháp kỹ thuật, rất khó để hoàn toàn phòng ngừa ngay cả trong tổ chức.
Đề nghị các nhà phát triển và người dùng cần cảnh giác cao độ với các dự án GitHub không rõ nguồn gốc, đặc biệt là khi liên quan đến các thao tác ví tiền hoặc khóa riêng. Nếu thực sự cần chạy và gỡ lỗi, nên thực hiện trên môi trường máy độc lập và không có dữ liệu nhạy cảm.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
22 thích
Phần thưởng
22
6
Chia sẻ
Bình luận
0/400
OnChainSleuth
· 07-06 11:28
Hóa ra không ai xác minh chữ ký của con bot nhỏ này?
Xem bản gốcTrả lời0
LayoffMiner
· 07-06 01:27
Máy khai thác nằm ở nhà ăn bụi
Xem bản gốcTrả lời0
RektDetective
· 07-04 12:30
又一个 đồ ngốc chơi đùa với mọi người了
Xem bản gốcTrả lời0
AltcoinMarathoner
· 07-03 12:09
chỉ là một cột mốc nữa trong cuộc marathon an ninh của crypto... hãy cẩn thận fam
Xem bản gốcTrả lời0
MetaverseLandlady
· 07-03 11:55
Chơi chơi chơi rồi biết tải xuống, đáng bị đánh cắp.
Xem bản gốcTrả lời0
CommunityWorker
· 07-03 11:50
Đi thôi, đi thôi, thật sự không dám chạm vào những Bots này.
Dự án độc hại trên GitHub mạo danh Bots Solana dẫn đến việc người dùng bị đánh cắp tài sản mã hóa
【比推】Theo đội ngũ an ninh theo dõi, vào ngày 2 tháng 7, một nạn nhân cho biết họ đã sử dụng một dự án mã nguồn mở được lưu trữ trên GitHub - zldp2002/solana-pumpfun-bot vào ngày hôm trước, sau đó tài sản mã hóa đã bị đánh cắp. Qua phân tích, trong sự kiện tấn công này, kẻ tấn công đã giả mạo là một dự án mã nguồn mở hợp pháp (solana-pumpfun-bot), dụ dỗ người dùng tải xuống và chạy mã độc. Dưới vỏ bọc tăng cường độ hot của dự án, người dùng đã vô tình chạy một dự án Node.js có chứa phụ thuộc độc hại mà không hề phòng bị, dẫn đến việc lộ khóa riêng của ví và tài sản bị đánh cắp. Toàn bộ chuỗi tấn công này liên quan đến nhiều tài khoản GitHub phối hợp hoạt động, mở rộng phạm vi phát tán và nâng cao độ tin cậy, cực kỳ lừa đảo. Đồng thời, loại tấn công này sử dụng cả kỹ thuật xã hội và phương pháp kỹ thuật, rất khó để hoàn toàn phòng ngừa ngay cả trong tổ chức.
Đề nghị các nhà phát triển và người dùng cần cảnh giác cao độ với các dự án GitHub không rõ nguồn gốc, đặc biệt là khi liên quan đến các thao tác ví tiền hoặc khóa riêng. Nếu thực sự cần chạy và gỡ lỗi, nên thực hiện trên môi trường máy độc lập và không có dữ liệu nhạy cảm.