SlowMist: تخفي أداة Solana الشهيرة من GitHub مصائد العملات المعدنية

PANews 3 يوليو ، وفقًا لفريق أمان Slow Fog ، ادعى أحد الضحايا في 2 يوليو أنه استخدم مشروعًا مفتوح المصدر مستضافًا على GitHub - zldp2002/solana-pumpfun-bot في اليوم السابق ، وتمت سرقة الأصول المشفرة بعد ذلك. وفقًا لتحليل Slow Fog ، تمكن المهاجم من التظاهر بأنه مشروع مفتوح المصدر شرعي (solana-pumpfun-bot) ، مما أدى إلى تحميل المستخدمين وتشغيل التعليمات البرمجية الضارة. تحت ستار زيادة حرارة المشروع ، قام المستخدمون بتشغيل مشروع Node.js يحتوي على تبعيات ضارة دون أي تحذير ، مما أدى إلى تسرب المفتاح الخاص للمحفظة وسرقة الأصول. تشمل سلسلة الهجوم بأكملها عدة حسابات GitHub تعمل معًا ، مما يزيد من نطاق الانتشار ويعزز المصداقية ، مما يجعلها خدعة للغاية. في الوقت نفسه ، يصعب تمامًا الدفاع عن هذا النوع من الهجمات داخل المنظمة من خلال الهندسة الاجتماعية والوسائل التقنية. توصي Slow Fog المطورين والمستخدمين بالتحلي باليقظة تجاه مشاريع GitHub غير المعروفة، خاصة عند التعامل مع المحفظة أو المفتاح الخاص. إذا كان من الضروري تشغيل التصحيح، يُوصى بالقيام بذلك في بيئة آلة مستقلة ولا تحتوي على بيانات حساسة.