Security Alert: GitHub Project Exploited in Cryptocurrency Theft

Binance News · 2025-07-03T11:43:36.000Z

According to PANews, a security incident involving a GitHub-hosted open-source project has resulted in the theft of cryptocurrency assets. On July 2, a victim reported using the project named zldp2002/solana-pumpfun-bot, which led to the unauthorized access and theft of their digital assets. The SlowMist security team analyzed the attack, revealing that the perpetrators disguised the malicious code as a legitimate open-source project. This deception encouraged users to download and execute the harmful Node.js project, which contained malicious dependencies. As a result, users' wallet private keys were compromised, leading to asset theft. The attack involved multiple GitHub accounts working in coordination, which expanded the reach and credibility of the malicious project, making it highly deceptive. This type of attack combines social engineering with technical methods, making it challenging to defend against even within organizations. SlowMist advises developers and users to exercise extreme caution when dealing with unfamiliar GitHub projects, especially those involving wallet or private key operations. It is recommended to run and debug such projects in isolated environments without sensitive data to mitigate risks.

Menurut PANews, insiden keamanan yang melibatkan proyek sumber terbuka yang dihosting di GitHub telah mengakibatkan pencurian aset kripto. Pada 2 Juli, seorang korban melaporkan menggunakan proyek bernama zldp2002/solana-pumpfun-bot, yang mengakibatkan akses tidak sah dan pencurian aset digital mereka. Tim keamanan SlowMist menganalisis serangan tersebut, mengungkapkan bahwa pelaku menyamarkan kode jahat sebagai proyek sumber terbuka yang sah. Tipu daya ini mendorong pengguna untuk mengunduh dan menjalankan proyek Node.js berbahaya, yang mengandung ketergantungan berbahaya. Akibatnya, kunci pribadi dompet pengguna terkompromi, yang mengarah pada pencurian aset.
Serangan tersebut melibatkan beberapa akun GitHub yang bekerja secara kooperatif, yang memperluas jangkauan dan kredibilitas proyek jahat, menjadikannya sangat menipu. Jenis serangan ini menggabungkan rekayasa sosial dengan metode teknis, sehingga sulit untuk dipertahankan bahkan di dalam organisasi.
SlowMist menyarankan pengembang dan pengguna untuk sangat berhati-hati saat berurusan dengan proyek GitHub yang tidak dikenal, terutama yang melibatkan operasi dompet atau kunci pribadi. Disarankan untuk menjalankan dan melakukan debug proyek semacam itu di lingkungan terisolasi tanpa data sensitif untuk mengurangi risiko.

Peringatan Keamanan: Proyek GitHub Dieksploitasi dalam Pencurian Cryptocurrency

Berita Terbaru