Security Alert: GitHub Project Exploited in Cryptocurrency Theft

Binance News · 2025-07-03T11:43:36.000Z

According to PANews, a security incident involving a GitHub-hosted open-source project has resulted in the theft of cryptocurrency assets. On July 2, a victim reported using the project named zldp2002/solana-pumpfun-bot, which led to the unauthorized access and theft of their digital assets. The SlowMist security team analyzed the attack, revealing that the perpetrators disguised the malicious code as a legitimate open-source project. This deception encouraged users to download and execute the harmful Node.js project, which contained malicious dependencies. As a result, users' wallet private keys were compromised, leading to asset theft. The attack involved multiple GitHub accounts working in coordination, which expanded the reach and credibility of the malicious project, making it highly deceptive. This type of attack combines social engineering with technical methods, making it challenging to defend against even within organizations. SlowMist advises developers and users to exercise extreme caution when dealing with unfamiliar GitHub projects, especially those involving wallet or private key operations. It is recommended to run and debug such projects in isolated environments without sensitive data to mitigate risks.

De acordo com a PANews, um incidente de segurança envolvendo um projeto de código aberto hospedado no GitHub resultou no roubo de ativos de criptomoedas. Em 2 de julho, uma vítima relatou o uso do projeto zldp2002/solana-pumpfun-bot, o que levou ao acesso não autorizado e ao roubo de seus ativos digitais. A equipe de segurança da SlowMist analisou o ataque e revelou que os criminosos disfarçaram o código malicioso como um projeto legítimo de código aberto. Essa fraude encorajou os usuários a baixar e executar o projeto Node.js nocivo, que continha dependências maliciosas. Como resultado, as chaves privadas da carteira dos usuários foram comprometidas, levando ao roubo de ativos.
O ataque envolveu várias contas do GitHub trabalhando em coordenação, o que expandiu o alcance e a credibilidade do projeto malicioso, tornando-o altamente enganoso. Esse tipo de ataque combina engenharia social com métodos técnicos, tornando-o difícil de se defender, mesmo dentro de organizações.
A SlowMist recomenda que desenvolvedores e usuários tenham extremo cuidado ao lidar com projetos desconhecidos do GitHub, especialmente aqueles que envolvem operações com carteiras ou chaves privadas. Recomenda-se executar e depurar esses projetos em ambientes isolados, sem dados confidenciais, para mitigar riscos.

Alerta de segurança: Projeto GitHub explorado em roubo de criptomoedas

Últimas Notícias