Secondo PANews, un incidente di sicurezza che ha coinvolto un progetto open-source ospitato su GitHub ha portato al furto di asset in criptovaluta. Il 2 luglio, una vittima ha segnalato di aver utilizzato il progetto denominato zldp2002/solana-pumpfun-bot, che ha portato all'accesso non autorizzato e al furto dei propri asset digitali. Il team di sicurezza di SlowMist ha analizzato l'attacco, rivelando che i perpetratori avevano travestito il codice malevolo come un legittimo progetto open-source. Questo inganno ha incoraggiato gli utenti a scaricare ed eseguire il dannoso progetto Node.js, che conteneva dipendenze malevole. Di conseguenza, le chiavi private del portafoglio degli utenti sono state compromesse, portando al furto di asset.
L'attacco ha coinvolto più account GitHub che lavoravano in coordinazione, il che ha ampliato la portata e la credibilità del progetto malevolo, rendendolo altamente ingannevole. Questo tipo di attacco combina ingegneria sociale con metodi tecnici, rendendo difficile difendersi anche all'interno delle organizzazioni.
SlowMist consiglia a sviluppatori e utenti di esercitare estrema cautela quando si tratta di progetti GitHub sconosciuti, specialmente quelli che coinvolgono operazioni con portafogli o chiavi private. Si raccomanda di eseguire e debugare tali progetti in ambienti isolati senza dati sensibili per mitigare i rischi.