Security Alert: GitHub Project Exploited in Cryptocurrency Theft

Binance News · 2025-07-03T11:43:36.000Z

According to PANews, a security incident involving a GitHub-hosted open-source project has resulted in the theft of cryptocurrency assets. On July 2, a victim reported using the project named zldp2002/solana-pumpfun-bot, which led to the unauthorized access and theft of their digital assets. The SlowMist security team analyzed the attack, revealing that the perpetrators disguised the malicious code as a legitimate open-source project. This deception encouraged users to download and execute the harmful Node.js project, which contained malicious dependencies. As a result, users' wallet private keys were compromised, leading to asset theft. The attack involved multiple GitHub accounts working in coordination, which expanded the reach and credibility of the malicious project, making it highly deceptive. This type of attack combines social engineering with technical methods, making it challenging to defend against even within organizations. SlowMist advises developers and users to exercise extreme caution when dealing with unfamiliar GitHub projects, especially those involving wallet or private key operations. It is recommended to run and debug such projects in isolated environments without sensitive data to mitigate risks.

Согласно PANews, инцидент с безопасностью, связанный с открытым проектом, размещенным на GitHub, привел к краже криптовалютных активов. 2 июля жертва сообщила о использовании проекта под названием zldp2002/solana-pumpfun-bot, что привело к несанкционированному доступу и краже их цифровых активов. Команда безопасности SlowMist проанализировала атаку, выявив, что злоумышленники скрыли вредоносный код под видом законного открытого проекта. Этот обман побудил пользователей загрузить и выполнить вредоносный проект Node.js, который содержал вредоносные зависимости. В результате приватные ключи кошельков пользователей были скомпрометированы, что привело к краже активов.
Атака включала в себя несколько аккаунтов GitHub, работающих в координации, что расширило охват и доверие к вредоносному проекту, сделав его крайне обманчивым. Этот тип атаки сочетает в себе социальную инженерию с техническими методами, что делает защиту от нее сложной даже внутри организаций.
SlowMist советует разработчикам и пользователям проявлять крайнюю осторожность при работе с незнакомыми проектами на GitHub, особенно с теми, которые связаны с операциями с кошельками или приватными ключами. Рекомендуется запускать и отлаживать такие проекты в изолированных средах без конфиденциальных данных для снижения рисков.

Предупреждение безопасности: проект GitHub использован для кражи криптовалюты

Последние новости

Предупреждение безопасности: проект GitHub использован для кражи криптовалюты

Последние новости

Популярные статьи