Кибербезопасная компания SlowMist выпустила предупреждение о новом виде криптомошенничества, которое маскируется под легитимный торговый бот для Solana.
Безобидный бот с опасным поворотом
Пользователь загрузил открытый бот с GitHub, запустил его, и вскоре его кошелек был опустошен. Проект, названный "solana-pumpfun-bot", выглядел вполне нормальным, имел звезды, форки и даже недавние коммиты. Однако это было приложение на Node.js с скрытой зависимостью – пакетом, связанного с пользовательским URL на GitHub, что позволило вредоносному пакету обойти проверки безопасности NPM.
Фальшивая популярность на GitHub
Чтобы выглядеть безопасным, мошенник использовал фальшивые аккаунты на GitHub для создания звезд и форков проекта, что дало ему видимость широкой популярности. Однако по данным SlowMist, весь код был загружен всего три недели назад, что является ясным признаком того, что что-то не так. В твите SlowMist было указано: "Преступник замаскировал вредоносную программу под легитимный проект с открытым исходным кодом... пользователи неосознанно запускали проект на Node.js с встроенными вредоносными зависимостями, что подвергло их приватные ключи риску и привело к потере активов."
Важное предупреждение для разработчиков и трейдеров
SlowMist советует пользователям никогда не доверять проектам на GitHub без должной проверки, особенно тем, которые требуют доступа к кошельку или работе с приватными ключами. Если необходимо протестировать такие инструменты, рекомендуется делать это в изолированной среде, не используя реальные активы. Команда предупреждает: "Если вам нужно протестировать их, делайте это в песочнице, в изолированной среде без чувствительных данных."
С учетом того, что все больше трейдеров и разработчиков полагаются на инструменты с открытым исходным кодом в криптопространстве, подобные атаки становятся труднее заметить. Основной вывод прост: если проект на GitHub касается вашего кошелька, относитесь к нему как к высокому риску!
