SlowMist: Beliebtes Solana-Tool auf GitHub verbirgt Falle für Krypto-Diebstahl

Laut Jinse Finance berichtete das SlowMist-Sicherheitsteam, dass am 2. Juli ein Opfer angab, am Vortag ein Open-Source-Projekt auf GitHub genutzt zu haben—zldp2002/solana-pumpfun-bot—und anschließend seien seine Krypto-Vermögenswerte gestohlen worden. Nach Analyse von SlowMist wurde festgestellt, dass der Angreifer in diesem Fall bösartigen Code als legitimes Open-Source-Projekt (solana-pumpfun-bot) tarnte und so Nutzer dazu brachte, diesen herunterzuladen und auszuführen. Unter dem Vorwand, die Popularität des Projekts zu steigern, führten die Nutzer ahnungslos ein Node.js-Projekt mit schädlichen Abhängigkeiten aus, was zum Diebstahl von Wallet-Private-Keys und Vermögenswerten führte. Die gesamte Angriffskette umfasste das koordinierte Vorgehen mehrerer GitHub-Konten, wodurch die Verbreitung ausgeweitet, die Glaubwürdigkeit erhöht und der Angriff besonders täuschend wurde. Gleichzeitig kombiniert diese Art von Angriff soziale Manipulation mit technischen Mitteln, was eine vollständige Abwehr selbst innerhalb von Organisationen erschwert. SlowMist rät Entwicklern und Nutzern, bei GitHub-Projekten aus unbekannten Quellen äußerste Vorsicht walten zu lassen, insbesondere wenn Wallet- oder Private-Key-Operationen betroffen sind. Falls es notwendig ist, solche Projekte auszuführen oder zu debuggen, wird empfohlen, dies in einer isolierten Umgebung auf einem Gerät ohne sensible Daten zu tun.