Зловмисний код на GitHub маскується під відкритий вихідний код, що призводить до крадіжки зашифрованих активів користувачів

【Монета】3 липня повідомлення, за інформацією безпекової команди, 2 липня одна жертва заявила, що напередодні скористалася одним співучасником, що розміщений на GitHub — zldp2002/solana-pumpfun-bot, після чого її зашифровані активи були вкрадені. Після аналізу, під час цього нападу, зловмисники маскувалися під легітимний відкритий вихідний код (solana-pumpfun-bot), спонукаючи користувачів завантажити та запустити шкідливий код. Під прикриттям підвищення популярності проекту, користувачі без жодних підозр запустили Node.js проект з шкідливими залежностями, що призвело до витоку закритого ключа гаманця та крадіжки активів. Уся ланцюг атаки охоплювала кілька акаунтів GitHub, які діяли спільно, розширюючи обсяг поширення, підвищуючи довіру та будучи дуже обманливими. Водночас, такого роду атаки використовують соціальну інженерію та технічні засоби одночасно, що ускладнює повну оборону всередині організації.

Експерти з безпеки радять розробникам і користувачам бути особливо обережними з невідомими проектами на GitHub, особливо коли йдеться про операції з Гаманцем або Закритим ключем. Якщо дійсно потрібно запустити налагодження, рекомендується виконувати його на окремому комп'ютері без чутливих даних.