느린 안개: GitHub 인기 솔라나 도구에 숨겨진 도난 코인 함정

ChainCatcher 메시지에 따르면, 7월 2일 한 피해자가 전날 GitHub에 호스팅된 오픈 소스 프로젝트 ------ zldp2002/solana-pumpfun-bot을 사용한 후 암호 자산이 도난당했다고 주장했습니다. 느린 안개 분석에 따르면, 이번 공격 사건에서 공격자는 합법적인 오픈 소스 프로젝트(solana-pumpfun-bot)로 위장하여 사용자가 악성 코드를 다운로드하고 실행하도록 유도했습니다. 프로젝트의 인기를 높이는 것을 감추고, 사용자는 전혀 경계하지 않은 채 악성 의존성이 포함된 Node.js 프로젝트를 실행하여 지갑 개인 키가 유출되고 자산이 도난당했습니다. 전체 공격 체인은 여러 GitHub 계정이 협력하여 작동하며, 전파 범위를 확대하고 신뢰성을 높여 매우 기만적입니다. 동시에 이러한 공격은 사회 공학과 기술 수단을 결합하여 조직 내부에서도 완전히 방어하기 어렵습니다.

느린 안개는 개발자와 사용자에게 출처가 불분명한 GitHub 프로젝트에 대해 높은 경계를 유지할 것을 권장하며, 특히 지갑이나 개인 키 작업과 관련된 경우 더욱 주의해야 한다고 강조합니다. 만약 디버깅을 실행해야 한다면, 독립적이고 민감한 데이터가 없는 머신 환경에서 실행하고 디버깅할 것을 권장합니다.