【比推】حسب مراقبة فريق الأمان، في 2 يوليو، أفاد أحد الضحايا أنه استخدم في اليوم السابق مشروعًا مفتوح المصدر مستضافًا على GitHub - zldp2002/solana-pumpfun-bot، وبعد ذلك تم سرقة الأصول المشفرة. بعد التحليل، في هذه الحادثة الهجومية، قام المهاجمون بالتنكر كمشروع مفتوح المصدر قانوني (solana-pumpfun-bot)، مما أدى إلى إغراء المستخدمين بتنزيل وتشغيل التعليمات البرمجية الخبيثة. تحت غطاء زيادة حماس المشروع، قام المستخدمون بتشغيل مشروع Node.js يحمل تبعيات خبيثة دون أي حذر، مما أدى إلى تسرب المفتاح الخاص للمحفظة وسرقة الأصول. تشمل سلسلة الهجمات بأكملها تعاون عدة حسابات GitHub، مما أدى إلى توسيع نطاق الانتشار وزيادة المصداقية، مما يجعلها خدعة للغاية. في الوقت نفسه، فإن هذه الأنواع من الهجمات تستخدم مزيجًا من الهندسة الاجتماعية والأساليب التقنية، مما يجعل الدفاع الكامل عنها داخل المؤسسات أمرًا صعبًا.
ينبغي على المطورين والمستخدمين أن يكونوا في حالة تأهب شديد تجاه مشاريع GitHub غير المعروفة، خاصة عندما يتعلق الأمر بعمليات المحفظة أو المفتاح الخاص. إذا كان من الضروري إجراء تصحيح الأخطاء، يُنصح بتشغيل وتصحيح الأخطاء في بيئة آلة مستقلة وخالية من البيانات الحساسة.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 22
أعجبني
22
6
مشاركة
تعليق
0/400
OnChainSleuth
· 07-06 11:28
هل لم يتحقق أحد من توقيع هذا الروبوت الصغير؟
شاهد النسخة الأصليةرد0
LayoffMiner
· 07-06 01:27
جهاز التعدين ملقى في المنزل يأخذ الغبار
شاهد النسخة الأصليةرد0
RektDetective
· 07-04 12:30
又一个حمقىخداع الناس لتحقيق الربح了
شاهد النسخة الأصليةرد0
AltcoinMarathoner
· 07-03 12:09
مجرد علامة ميل أخرى في ماراثون أمان العملات المشفرة... ابقوا يقظين عائلتي
مشاريع GitHub الضارة تتظاهر بأنها بوتات Solana مما يؤدي إلى سرقة أصول المستخدمين المشفرة
【比推】حسب مراقبة فريق الأمان، في 2 يوليو، أفاد أحد الضحايا أنه استخدم في اليوم السابق مشروعًا مفتوح المصدر مستضافًا على GitHub - zldp2002/solana-pumpfun-bot، وبعد ذلك تم سرقة الأصول المشفرة. بعد التحليل، في هذه الحادثة الهجومية، قام المهاجمون بالتنكر كمشروع مفتوح المصدر قانوني (solana-pumpfun-bot)، مما أدى إلى إغراء المستخدمين بتنزيل وتشغيل التعليمات البرمجية الخبيثة. تحت غطاء زيادة حماس المشروع، قام المستخدمون بتشغيل مشروع Node.js يحمل تبعيات خبيثة دون أي حذر، مما أدى إلى تسرب المفتاح الخاص للمحفظة وسرقة الأصول. تشمل سلسلة الهجمات بأكملها تعاون عدة حسابات GitHub، مما أدى إلى توسيع نطاق الانتشار وزيادة المصداقية، مما يجعلها خدعة للغاية. في الوقت نفسه، فإن هذه الأنواع من الهجمات تستخدم مزيجًا من الهندسة الاجتماعية والأساليب التقنية، مما يجعل الدفاع الكامل عنها داخل المؤسسات أمرًا صعبًا.
ينبغي على المطورين والمستخدمين أن يكونوا في حالة تأهب شديد تجاه مشاريع GitHub غير المعروفة، خاصة عندما يتعلق الأمر بعمليات المحفظة أو المفتاح الخاص. إذا كان من الضروري إجراء تصحيح الأخطاء، يُنصح بتشغيل وتصحيح الأخطاء في بيئة آلة مستقلة وخالية من البيانات الحساسة.