SlowMist：GitHubの人気ツールSolanaにコイン窃盗の罠が隠されている

Odaily スタージャーナルによると SlowMistセキュリティチームの監視によると、7月2日、ある被害者が、前日にGitHubでホストされていたオープンソースプロジェクト（zldp2002/solana-pumpfun-bot）を使用した後、暗号化された資産を盗まれたと述べています。SlowMistの分析によると、この攻撃では、攻撃者は正当なオープンソースプロジェクト（solana-pumpfun-bot）を装い、ユーザーに悪意のあるコードをダウンロードさせて実行させました。プロジェクトの人気度を高めるという名目で、ユーザーは悪意のある依存関係を持つNode.jsプロジェクトを防御策なしで実行し、ウォレットの秘密鍵の漏洩と資産の盗難に至りました。攻撃チェーン全体は複数のGitHubアカウントが連携して動作することで、拡散範囲の拡大、信頼性の向上、そして極めて欺瞞的な行為となっています。同時に、この種の攻撃はソーシャルエンジニアリングや技術的手段を用いており、組織内での完全な防御は困難です。 SlowMistは、開発者とユーザーに対し、特にウォレットや秘密鍵の操作に関しては、出所不明のGitHubプロジェクトに対して細心の注意を払うことを推奨しています。どうしても実行とデバッグが必要な場合は、機密データを含まない独立したマシン環境で実行とデバッグを行うことをお勧めします。