Зловредный код на GitHub маскируется под Открытый исходный код, что приводит к краже шифрования активов пользователей.

【токенный мир】3 июля, по информации команды безопасности, 2 июля один из жертв сообщил, что накануне использовал проект с открытым исходным кодом, размещенный на GitHub — zldp2002/solana-pumpfun-bot, после чего его криптоактивы были украдены. После анализа, в этом инциденте атаки злоумышленник маскировался под законный проект с открытым исходным кодом (solana-pumpfun-bot), что побудило пользователя загрузить и запустить вредоносный код. Под предлогом повышения популярности проекта, пользователь без каких-либо предостережений запустил проект Node.js с вредоносными зависимостями, что привело к утечке закрытого ключа кошелька и краже активов. Вся цепочка атаки охватывала несколько аккаунтов GitHub, которые действовали совместно, что расширяло охват распространения и повышало доверие, что делает ее крайне обманчивой. В то же время такие атаки используют как социальную инженерию, так и технические средства, что делает их трудными для полной защиты внутри организации.

Эксперты по безопасности советуют разработчикам и пользователям проявлять повышенную осторожность в отношении неизвестных проектов на GitHub, особенно когда это касается операций с Кошелек или Закрытый ключ. Если действительно необходимо запустить отладку, рекомендуется делать это в отдельной среде, где нет конфиденциальных данных.