SlowMist: GitHubの人気ツールSolanaにコイン盗難の罠が潜む

SlowMistセキュリティチームによると、7月2日、ある被害者が、前日にGitHubでホストされていたオープンソースプロジェクト（zldp2002/solana-pumpfun-bot）を使用した後、暗号化された資産を盗まれたと述べています。SlowMistの分析によると、この攻撃では、攻撃者は正当なオープンソースプロジェクト（solana-pumpfun-bot）を装い、ユーザーに悪意のあるコードをダウンロードさせて実行させました。プロジェクトの人気度を高めるという名目で、ユーザーは悪意のある依存関係を持つNode.jsプロジェクトを防御策なしで実行し、ウォレットの秘密鍵の漏洩と資産の盗難に至りました。攻撃チェーン全体は、複数のGitHubアカウントが連携して動作することで、拡散範囲を拡大し、信頼性を高め、非常に欺瞞的です。同時に、この種の攻撃はソーシャルエンジニアリングと技術的手段を用いており、組織内で完全な防御を行うことは困難です。 SlowMistは、開発者とユーザーに対し、特にウォレットや秘密鍵の操作に関しては、出所不明のGitHubプロジェクトに対して細心の注意を払うことを推奨しています。どうしても実行とデバッグが必要な場合は、機密データを含まない独立したマシン環境で実行とデバッグを行うことをお勧めします。