Le code malveillant sur GitHub se fait passer pour un projet Open Source, entraînant le vol des actifs chiffrés des utilisateurs.

【jeton界】3 juillet, selon l'équipe de sécurité, le 2 juillet, une victime a déclaré qu'elle avait utilisé un projet Open Source hébergé sur GitHub - zldp2002/solana-pumpfun-bot, et que ses actifs chiffrés avaient été volés. Après analyse, lors de cet incident d'attaque, les attaquants se sont déguisés en projet Open Source légitime (solana-pumpfun-bot), induisant les utilisateurs à télécharger et exécuter du code malveillant. Sous le couvert d'une augmentation de la popularité du projet, les utilisateurs ont exécuté sans méfiance un projet Node.js contenant des dépendances malveillantes, entraînant la fuite de la clé privée du portefeuille et le vol des actifs. L'ensemble de la chaîne d'attaque impliquait plusieurs comptes GitHub en coopération, élargissant la portée de la propagation et augmentant la crédibilité, ce qui est très trompeur. Parallèlement, ce type d'attaque utilise à la fois des moyens d'ingénierie sociale et techniques, ce qui rend difficile une défense complète au sein de l'organisation.

Les experts en sécurité recommandent aux développeurs et aux utilisateurs d'être très vigilants vis-à-vis des projets GitHub d'origine inconnue, en particulier lorsqu'il s'agit d'opérations sur des Portefeuilles ou des Clés privées. Si des tests doivent absolument être effectués, il est conseillé de les exécuter et de les déboguer dans un environnement machine isolé et sans données sensibles.