慢霧：GitHub 熱門 Solana 工具暗藏加密貨幣竊取陷阱

根據金色財經報導，慢霧安全團隊表示，7月2日有受害者反映，前一天曾使用一個託管於 GitHub 的開源項目——zldp2002/solana-pumpfun-bot，隨後其加密資產被盜。經慢霧分析發現，此次攻擊中，攻擊者將惡意代碼偽裝成合法的開源項目（solana-pumpfun-bot），誘導用戶下載並執行。用戶在提升項目熱度的名義下，無意間運行了一個包含惡意依賴的 Node.js 項目，導致錢包私鑰洩露及資產被盜。整個攻擊鏈涉及多個 GitHub 帳號協同操作，擴大了傳播範圍，提高了可信度，使攻擊極具迷惑性。同時，這類攻擊結合了社交工程與技術手段，即使在組織內部也難以完全防範。慢霧建議開發者和用戶對於來自未知來源的 GitHub 項目務必保持高度警惕，尤其涉及錢包或私鑰操作時。如必須運行或調試此類項目，建議在無敏感數據的隔離環境下進行。