A empresa de segurança cibernética SlowMist emitiu um alerta após um usuário perder seus criptoativos ao baixar algo que parecia um bot de negociação Solana legítimo. O projeto chamado "solana-pumpfun-bot" afirmava ajudar os usuários a negociar tokens no Pump.fun, uma plataforma popular no ecossistema Solana. Mas, em vez disso, ele drenou a carteira do usuário.
Bots de negociação inocentes com uma reviravolta perigosa
Os usuários baixaram o bot de código aberto do GitHub, executaram-no e logo depois, suas carteiras foram limpas. À primeira vista, o projeto parecia normal. Tinha estrelas, ramificações e até mesmo compromissos recentes.
O projeto é uma aplicação Node.js que inclui uma dependência oculta - um pacote vinculado a partir de uma URL GitHub personalizada em vez do registro NPM oficial. Isso permite que o pacote malicioso contorne os testes de segurança do NPM, tornando a detecção mais difícil.
Após a instalação, o código irá escanear o sistema da vítima em busca de dados da carteira e enviar a sua chave privada para um servidor remoto controlado pelo atacante.
Para parecer seguro, o atacante usou uma conta falsa do GitHub para copiar e bifurcar o projeto, dando-lhe a aparência de ser amplamente utilizado. Mas, segundo a SlowMist, todo o código-fonte foi carregado apenas três semanas atrás, o que é um sinal claro de que algo não está certo.
Num tweet, a SlowMist explicou:
"O criminoso disfarçou um programa malicioso como um projeto de código aberto legítimo... os usuários, sem querer, executaram um projeto Node.js que continha dependências maliciosas, expondo chaves privadas e perdendo criptoativos."
Aviso importante para desenvolvedores e traders
A SlowMist aconselha os utilizadores a nunca confiarem cegamente em projetos do GitHub, especialmente aqueles que exigem acesso à carteira ou manipulação de chaves privadas. Se precisar de verificar ferramentas como estas, faça-o num ambiente de sandbox e não com os seus criptoativos reais.
O grupo de pesquisa alerta: "Se você precisar testá-los, faça-o em um ambiente isolado, com caixa de areia e sem dados sensíveis".
Por que isso é importante
À medida que mais comerciantes e desenvolvedores dependem de ferramentas de código aberto no espaço dos criptoativos, ataques como este se tornam cada vez mais difíceis de detectar.
O ponto crucial aqui é muito simples: se um projeto GitHub estiver relacionado à sua carteira, considere-o um projeto de alto risco!
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Aviso: Novo Bot de Negociação Falso do GitHub Está Esgotando Carteiras Solana
A empresa de segurança cibernética SlowMist emitiu um alerta após um usuário perder seus criptoativos ao baixar algo que parecia um bot de negociação Solana legítimo. O projeto chamado "solana-pumpfun-bot" afirmava ajudar os usuários a negociar tokens no Pump.fun, uma plataforma popular no ecossistema Solana. Mas, em vez disso, ele drenou a carteira do usuário. Bots de negociação inocentes com uma reviravolta perigosa Os usuários baixaram o bot de código aberto do GitHub, executaram-no e logo depois, suas carteiras foram limpas. À primeira vista, o projeto parecia normal. Tinha estrelas, ramificações e até mesmo compromissos recentes. O projeto é uma aplicação Node.js que inclui uma dependência oculta - um pacote vinculado a partir de uma URL GitHub personalizada em vez do registro NPM oficial. Isso permite que o pacote malicioso contorne os testes de segurança do NPM, tornando a detecção mais difícil. Após a instalação, o código irá escanear o sistema da vítima em busca de dados da carteira e enviar a sua chave privada para um servidor remoto controlado pelo atacante. Para parecer seguro, o atacante usou uma conta falsa do GitHub para copiar e bifurcar o projeto, dando-lhe a aparência de ser amplamente utilizado. Mas, segundo a SlowMist, todo o código-fonte foi carregado apenas três semanas atrás, o que é um sinal claro de que algo não está certo. Num tweet, a SlowMist explicou: "O criminoso disfarçou um programa malicioso como um projeto de código aberto legítimo... os usuários, sem querer, executaram um projeto Node.js que continha dependências maliciosas, expondo chaves privadas e perdendo criptoativos." Aviso importante para desenvolvedores e traders A SlowMist aconselha os utilizadores a nunca confiarem cegamente em projetos do GitHub, especialmente aqueles que exigem acesso à carteira ou manipulação de chaves privadas. Se precisar de verificar ferramentas como estas, faça-o num ambiente de sandbox e não com os seus criptoativos reais. O grupo de pesquisa alerta: "Se você precisar testá-los, faça-o em um ambiente isolado, com caixa de areia e sem dados sensíveis". Por que isso é importante À medida que mais comerciantes e desenvolvedores dependem de ferramentas de código aberto no espaço dos criptoativos, ataques como este se tornam cada vez mais difíceis de detectar. O ponto crucial aqui é muito simples: se um projeto GitHub estiver relacionado à sua carteira, considere-o um projeto de alto risco!