警告：新的虚假 GitHub 交易机器人正在抽取 Solana 钱包

网络安全公司SlowMist发出警告，称一名用户通过下载看似合法的Solana交易机器人而失去了他们的虚拟币资产。这个名为"solana-pumpfun-bot"的项目声称帮助用户在Pump.fun这个Solana生态系统中流行的平台上交易代币。但相反，它却掏空了用户的钱包。 量化机器人无辜于一个危险的转折 用户从GitHub下载了开源机器人，运行它后，他们的钱包被清空。乍一看，该项目看起来正常。它有星标、分支，甚至还有最近的提交。 该项目是一个包含隐蔽依赖项的 Node.js 应用程序 - 一个从自定义 GitHub URL 链接的包，而不是官方 NPM 注册表。这使得恶意包能够绕过 NPM 的安全检查，从而使检测变得更加困难。 安装后，代码将扫描受害者的系统以寻找钱包数据，并将他们的私钥发送到攻击者控制的远程服务器。 为了看起来安全，攻击者使用了假冒的GitHub账户来复制和分支项目，给它一种被广泛使用的外观。但是根据SlowMist，整个代码库是在三周前上传的，这是明显表明有问题的迹象。 在一条推文中，SlowMist 解释道： “罪犯将恶意程序伪装成一个合法的开源项目……用户无意中运行了一个嵌入有恶意依赖项的 Node.js 项目，导致私钥泄露和资产损失。” 重要警告给开发者和交易者 SlowMist建议用户永远不要盲目相信GitHub上的项目，特别是那些要求访问钱包或处理私钥的项目。如果您需要检查这样的工具，请在沙盒环境中进行，而不是使用您的真实资产。 研究小组警告："如果您必须测试它们，请在隔离环境中进行，使用沙盒并且没有敏感数据。" 这为什么重要 随着越来越多的交易者和开发者依赖于虚拟币资产领域的开源工具，这类攻击变得越来越难以被发现。 这里的关键点非常简单：如果一个与您的钱包相关的GitHub项目，请将其视为高风险项目！