This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
詐欺警告:被害者がGitHubの悪意のあるソラナボットに暗号資産を失う
サイバーセキュリティ企業SlowMistは最近、Solanaベースのトークンを取引するためのPump.funボットのように見える悪意のあるオープンソースプロジェクトに影響を受けたユーザーから連絡を受けたことを明らかにしました。
ユーザーは一見無害なGitHubプロジェクトをダウンロードして実行しました。その直後、彼らのウォレットは空になってしまいました。
その偽のプロジェクトは、カスタムGitHubリンクからダウンロードされたパッケージに依存するNode.jsアプリでした。このパッケージは、NPMレジストリのセキュリティチェックを回避することができました。これは、攻撃者が検出を回避するために外部ホストされたパッケージに悪意のあるコードを隠す傾向があるため、典型的な行動です。
そのパッケージは、次に被害者のウォレットをスキャンして暗号ウォレット情報を取得しました。そして、その後、プライベートキーを悪意のある行為者が制御するサーバーに送信しました。
ハッカーは信頼できるように見せかけるために、偽のGitHubアカウントを使用して人気を偽装しました。
SlowMistは、ユーザーがGitHubプロジェクトを盲目的に信頼してはいけないと強調しています。