Security Alert: GitHub Project Exploited in Cryptocurrency Theft

Binance News · 2025-07-03T11:43:36.000Z

According to PANews, a security incident involving a GitHub-hosted open-source project has resulted in the theft of cryptocurrency assets. On July 2, a victim reported using the project named zldp2002/solana-pumpfun-bot, which led to the unauthorized access and theft of their digital assets. The SlowMist security team analyzed the attack, revealing that the perpetrators disguised the malicious code as a legitimate open-source project. This deception encouraged users to download and execute the harmful Node.js project, which contained malicious dependencies. As a result, users' wallet private keys were compromised, leading to asset theft. The attack involved multiple GitHub accounts working in coordination, which expanded the reach and credibility of the malicious project, making it highly deceptive. This type of attack combines social engineering with technical methods, making it challenging to defend against even within organizations. SlowMist advises developers and users to exercise extreme caution when dealing with unfamiliar GitHub projects, especially those involving wallet or private key operations. It is recommended to run and debug such projects in isolated environments without sensitive data to mitigate risks.

Según PANews, un incidente de seguridad que involucra un proyecto de código abierto alojado en GitHub ha resultado en el robo de activos de criptomonedas. El 2 de julio, una víctima reportó haber utilizado el proyecto llamado zldp2002/solana-pumpfun-bot, lo que condujo al acceso no autorizado y al robo de sus activos digitales. El equipo de seguridad de SlowMist analizó el ataque, revelando que los perpetradores disfrazaron el código malicioso como un proyecto de código abierto legítimo. Este engaño alentó a los usuarios a descargar y ejecutar el dañino proyecto de Node.js, que contenía dependencias maliciosas. Como resultado, las claves privadas de las billeteras de los usuarios fueron comprometidas, lo que llevó al robo de activos.
El ataque involucró múltiples cuentas de GitHub trabajando en coordinación, lo que amplió el alcance y la credibilidad del proyecto malicioso, haciéndolo altamente engañoso. Este tipo de ataque combina ingeniería social con métodos técnicos, lo que dificulta la defensa incluso dentro de las organizaciones.
SlowMist aconseja a desarrolladores y usuarios que ejerzan extrema precaución al tratar con proyectos de GitHub desconocidos, especialmente aquellos que involucran operaciones con billeteras o claves privadas. Se recomienda ejecutar y depurar tales proyectos en entornos aislados sin datos sensibles para mitigar riesgos.

Alerta de Seguridad: Proyecto de GitHub Explotado en Robo de Criptomonedas

Lo más reciente