Theo PANews, một sự cố an ninh liên quan đến một dự án mã nguồn mở được lưu trữ trên GitHub đã dẫn đến việc đánh cắp tài sản tiền điện tử. Vào ngày 2 tháng 7, một nạn nhân đã báo cáo việc sử dụng dự án có tên zldp2002/solana-pumpfun-bot, dẫn đến việc truy cập trái phép và đánh cắp tài sản kỹ thuật số của họ. Nhóm an ninh SlowMist đã phân tích cuộc tấn công, tiết lộ rằng những kẻ phạm tội đã ngụy trang mã độc hại thành một dự án mã nguồn mở hợp pháp. Sự lừa dối này đã khuyến khích người dùng tải xuống và thực thi dự án Node.js độc hại, chứa các phụ thuộc độc hại. Kết quả là, các khóa riêng tư của ví của người dùng đã bị xâm phạm, dẫn đến việc đánh cắp tài sản.
Cuộc tấn công liên quan đến nhiều tài khoản GitHub hoạt động phối hợp, điều này đã mở rộng phạm vi và độ tin cậy của dự án độc hại, làm cho nó trở nên rất lừa dối. Loại hình tấn công này kết hợp kỹ thuật xã hội với các phương pháp kỹ thuật, khiến cho việc phòng thủ trở nên khó khăn ngay cả trong các tổ chức.
SlowMist khuyến cáo các nhà phát triển và người dùng nên hết sức thận trọng khi xử lý các dự án GitHub không quen thuộc, đặc biệt là những dự án liên quan đến ví hoặc các hoạt động khóa riêng. Nên chạy và gỡ lỗi các dự án như vậy trong môi trường cô lập mà không có dữ liệu nhạy cảm để giảm thiểu rủi ro.
